Svenska hackare
Svenska hackare
Svenska hackare
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
svenska<br />
<strong>hackare</strong><br />
en berättelse från<br />
nätets skuggsida<br />
daniel goldberg/<br />
linus larsson
Norstedts<br />
Besöksadress: Tryckerigatan 4<br />
Box 2052<br />
103 12 Stockholm<br />
www.norstedts.se<br />
Norstedts ingår i<br />
Norstedts Förlagsgrupp AB,<br />
grundad 1823<br />
© 2011 Daniel Goldberg, Linus Larsson<br />
och Norstedts, Stockholm.<br />
Omslag: Miroslav Sokcic / Graphic Laundry<br />
E-boksproduktion: Elib AB 2011<br />
ISBN e-bok 978-91-1-303344-0<br />
ISBN tryckt utgåva 978-91-1-303044-9
Innehåll<br />
Prolog 7<br />
Förord 11<br />
Historien om Stakkato 15<br />
Först in i framtiden 75<br />
Ambassad<strong>hackare</strong>n från Malmö 103<br />
Dataintrång som sport 147<br />
Utan ansikte 207<br />
Hackandet blir politiskt 225<br />
Till högstbjudande 277<br />
Epilog 285<br />
Tidslinje 291<br />
Checklista för överlevare 294<br />
Ordlista 297<br />
Noter 305
Prolog<br />
»Jag tror jag har hittat någonting«<br />
DaN EgErStaD StällDE ner sin öl på skrivbordet och slog sig ner<br />
framför datorn. Det var fredag kväll och mitt i sommaren 2007.<br />
Hans lägenhet låg ett stenkast från Möllevångstorget i södra Malmö<br />
och utanför fönstret rullade bilarna förbi på väg in mot staden. Han<br />
trummade med fingrarna mot skrivbordet i takt med den amerikanska<br />
rockmusiken som strömmade ur datorhögtalarna, tog en klunk<br />
öl och klickade igång ett par program. Snart skulle han ge sig av till<br />
en fest hos en kompis, men först ville han kolla en grej. Det var dags<br />
att se efter vad hans nya projekt hade gett för resultat.<br />
Den långa och gängliga 21-åringen försörjde sig som IT-konsult,<br />
drev hemsidor och programmerade åt småföretag runt om i staden.<br />
Jobbet skötte han i huvudsak hemifrån, via en av de tre datorer som<br />
stod uppkopplade mot det trådlösa nätverket i lägenheten. Det gav<br />
inga stora pengar, men det var tillräckligt. Dessutom fick han jobba<br />
på sina egna villkor och med någonting han tyckte om.<br />
Nästan fyra veckor hade gått sedan han dragit igång sitt senaste<br />
experiment, ett av många som pågick under kvällar och helger i den<br />
lilla lägenheten. Han hade anslutit en av sina datorer till Tor, ett digitalt<br />
nätverk byggt för att underlätta anonymitet på nätet. Ett verktyg<br />
för de som vill skicka eller ta emot information men hålla sin verkliga<br />
identitet hemlig. Frågan var: hur mycket av den informationen<br />
kunde Dan Egerstad fiska upp på vägen? Hans egen dator – ingen<br />
märkvärdig maskin utan en helt vanlig PC – var nu en nod i det<br />
7
svenska ha c k a r e<br />
nätverket, en av flera punkter världen över som trafiken i Tor-nätet<br />
studsade igenom på väg till sin slutdestination. Allt för att göra det så<br />
svårt som möjligt att spåra den ursprungliga avsändaren.<br />
Med hjälp av ett program han skrivit själv kunde Dan Egerstad<br />
fånga informationen innan den skickades vidare och spara ned allting<br />
på sin hårddisk. Programmet var ett digitalt fiskenät som lagts<br />
ut tvärs över en flod av information. Varje sekund skannade det av<br />
uppgifterna som strömmade genom Dan Egerstads dator och sparade<br />
ned allt som stämde överens med de sökparametrar han ställt in.<br />
Nu var det dags att se vad som hade fastnat.<br />
Dan Egerstad tog en klunk öl till, knappade på tangentbordet och<br />
öppnade textfilen som innehöll den sparade informationen. Han<br />
hade inte hunnit fundera så mycket på resultatet, vilken typ av information<br />
som kunde tänkas ha fastnat i nätet. Textfilen skulle innehålla<br />
ett par mejl, kanske. Förmodligen en massa inloggningar på porrsajter.<br />
Oroliga webbsurfare använde ofta anonymiseringstjänster för att<br />
kolla på nakenbilder i smyg på jobbet, det var allmänt känt. Målet<br />
med projektet var att testa gränserna, röra runt lite i Tor och se vad<br />
som flöt upp till ytan. Men när uppgifterna i textfilen började rullas<br />
upp på skärmen hoppade han till. Det här var definitivt inte vad han<br />
hade väntat sig.<br />
Det var som om en dammlucka hade öppnats till nätets smutsiga<br />
undersida. Dan Egerstad förstod inte hur eller varför, men framför<br />
honom strömmade en flod av topphemlig information förbi på<br />
skärmen. Mejladresser och inloggningsuppgifter som tillhörde högt<br />
uppsatta chefer, politiker, journalister och tjänstemän världen över.<br />
Flera tusen topphemliga mejlkonton, samtliga med användarnamn<br />
och lösenord, nu prydligt nedsparade på en hårddisk i södra Malmö.<br />
I listan med kontouppgifter syntes storföretag, myndigheter,<br />
militära institutioner och ambassader. Ett brev där kung Carl XVI<br />
Gustaf artigt avböjde en inbjudan till en pianokonsert hos Rysslands<br />
ambassadör i Stockholm flöt förbi. Därefter ett meddelande från en<br />
direktör på ett av USA:s största börsbolag. Mängder av hemligheter,<br />
uppgifter som borde legat i tryggt förvar bakom tunga säkerhets-<br />
8
p r o l o g<br />
system. Dan Egerstad skrattade till. Vad var det han hade snubblat<br />
över?<br />
Ett par timmar senare slet han sig till sist från datorn och lämnade<br />
lägenheten. Han struntade i att han hade druckit och tog bilen ändå.<br />
Det var mörkt ute när Dan Egerstad öppnade porten till kompisens<br />
lägenhet i Söderkulla, ett par minuter längre bort i södra Malmö.<br />
Upphetsningen bubblade i magen när han sprang upp för trapporna<br />
i bostadshuset. Hemma i Dans egen lägenhet tuggade programmet<br />
vidare, nya uppgifter sparades ned på hårddisken. Att han ramlat över<br />
någonting stort var det ingen tvekan om. Men vad? Och varför?<br />
Kärnan i det gäng som Dan Egerstad umgicks med var också intresserade<br />
av teknik. Det var inte ovanligt att de pratade datorer och<br />
internet när de umgicks. På festen fanns det gott om annat folk att<br />
prata med, men Dan Egerstad hade svårt att släppa dagens stora upptäckt.<br />
Uppgifterna som tickat fram på skärmen hemma i lägenheten<br />
surrade hela tiden i hans bakhuvud. Han hade lovat sig själv att inte<br />
berätta för någon. Inte förrän han hade listat ut vad det var för någonting<br />
han snubblat över. Men ju senare det blev desto svårare var<br />
det att låta bli.<br />
Efter ytterligare ett par öl kunde han inte hålla sig längre. Dan<br />
Egerstad lutade sig fram till en kompis. Han pratade nära hans öra<br />
för att överrösta musiken.<br />
– Jag tror jag har hittat någonting, sa han, rösten gäll av upphetsning.<br />
Det kanske kan bli någonting häftigt.<br />
9
Förord<br />
DEt här är en bok om människor, inte om maskiner. Om den brokiga<br />
skara personer som samlas under namnet <strong>hackare</strong>, och en inblick<br />
i en av vår tids mest mytomspunna subkulturer.<br />
För många är <strong>hackare</strong>n en skurk, en spion som ägnar sig åt dataintrång<br />
och sabotage. För andra är han, för det är oftast en han, en<br />
ensam och osäker tonåring med datorn och nätet som enda vänner.<br />
Hackaren framställs ofta som en magiker och en trollkarl, en person<br />
med nästan övernaturlig makt i den digitala världen. Hackaren är<br />
skurken bakom otaliga tidningslöpsedlar om dataintrång och sabotage<br />
på internet. Och han är monstret i garderoben som IT-säkerhetsproffsen<br />
hotar med för att skrämma ansvarstyngda chefer att satsa<br />
ytterligare ett par miljoner kronor i nya virusskydd.<br />
Men <strong>hackare</strong>n är också en hjältefigur och en fanbärare, en representant<br />
för den världsbild som präglat den digitala världen ända sedan<br />
de första kylskåpstunga datorsystemen rullades in på svenska<br />
universitet för snart femtio år sedan. Hackarens grundmurade tro<br />
på teknikens möjligheter – och sin egen självklara rätt att använda<br />
den som han vill – har satt sin prägel på allt från nittiotalets spirande<br />
hemdatorkultur, via 00-talets häftiga debatt kring fildelningssajten<br />
The Pirate Bay och dagens diskussioner om övervakning och digital<br />
politisk aktivism. Den generation svenskar som vuxit upp med kraftfulla<br />
datorer och blixtsnabba uppkopplingar på tonårsrummen har<br />
levt med den världsbilden sen barnsben.<br />
Med boken du nu håller i din hand vill vi ge en inblick i vad<br />
11
svenska ha c k a r e<br />
som bäst kan beskrivas som den svenska digitala underjorden. Det<br />
är sanna historier från ett samtida Sverige i snabb och dramatisk förändring,<br />
ett Sverige där den etablerade makten får allt svårare att behålla<br />
kontrollen över tekniken och informationen. På vägen möter vi<br />
personerna bakom några av vår tids mest spektakulära dataintrång.<br />
Vi ville fråga oss varför. Vad det är som driver unga män att bryta<br />
sig in i topphemliga datorsystem och dra fram hemligstämplad information<br />
i ljuset utan att de själva har någonting att tjäna på det?<br />
Vad är det som får samma personer att sitta som fastklistrade vid sina<br />
datorer nätterna igenom för att ta sig förbi nästa lösenordsskyddade<br />
server i nätverket? Vad är det som får tonåringar utan det minsta intresse<br />
för politik att ta till vapen så fort fildelning och signalspaning<br />
kommer på tal? Svaren har vi sökt i en sluten kultur som tillåtits växa<br />
och utvecklas på sin egen kant i decennier. Den svenska hackarvärlden<br />
består av vitt skilda individer. Vissa av våra intervjuobjekt har<br />
själva valt att träda fram, andra har fällts i domstol mot sitt nekande.<br />
Ytterligare en grupp är fortfarande anonym och gömmer sig bakom<br />
flera lager av säkerhetsfunktioner, tillfälliga alias i slutna chattkanaler<br />
och mobiltelefoner som inte går att spåra. Kopplingarna mellan<br />
grupper och individer är många. Flera känner varandra, har mötts via<br />
chatt eller på diskussionsforum, bytt verktyg och diskuterat. Det är<br />
en hemlighetsfull värld, en liten krets av invigda där förtroendet och<br />
tystnadsplikten betyder allt. Om preskriberade brott och fall som hör<br />
det förflutna till talas det vitt och brett, men frågor om mer nutida<br />
händelser bemöts med tystnad. Ändå har många mot löfte om anonymitet<br />
sänkt garden och hjälpt oss i vårt arbete med denna bok. För<br />
detta riktar vi ett tack till alla dem som på egen begäran inte ens kan<br />
nämnas i en tacklista.<br />
Vissa hävdar att ordet <strong>hackare</strong>s ursprungliga betydelse – en tekniskt<br />
kunnig person som entusiastiskt tar sig an utmaningar med en känsla<br />
för både elegans och precision – försvunnit i mediebruset. Samma<br />
personer klagar gärna på att ordet kidnappats av medierna och i dag<br />
endast används nedlåtande för unga vandaler som stjäl känslig information<br />
eller förstör dyrbara datorsystem i jakt på uppmärksamhet.<br />
12
f ö r o r d<br />
Vi hävdar att det ena inte utesluter det andra. Många av de personer<br />
vi möter i den här boken passar in lika bra i båda lägren. Den<br />
nyfikna tonåringen, den fildelande IT-aktivisten och den välbetalda<br />
säkerhetsexperten delar alla många grundläggande övertygelser och<br />
intressen. Det är lätt att avfärda hackarna som brottslingar. Men bakom<br />
de inte sällan pubertala angreppen på oskyldiga sajter och systemägare<br />
finns djupare drivkrafter. En instinktiv vilja att bemästra den<br />
teknik som ligger till grund för hur alltmer av vårt moderna samhälle<br />
fungerar, och en febrig besatthet av att reda ut hur allt ihop fungerar.<br />
Samma drivkrafter kan skönjas hos de aktivistgrupper som engagerar<br />
sig i frågor om informationsfrihet, nätneutralitet och övervakning.<br />
Alla delar de en positiv syn på den nya teknikens möjligheter och en<br />
djupt rotad misstro mot försök att kontrollera och ruta in den digitala<br />
världen. I den här boken använder vi begreppet <strong>hackare</strong> som ett<br />
samlingsnamn på dessa grupper.<br />
Berättelserna i den här boken är bara toppen av ett isberg. I dag<br />
genomsyrar den digitala tekniken hela vår existens. Enorma mängder<br />
information om vilka vi är, våra åsikter, inkomster, affärer och<br />
relationer finns lagrade i elektronisk form. Det gör att hackandet<br />
som fenomen bara blir viktigare att förhålla sig till. När svenska tonåringar<br />
under det tidiga 1990-talet klottrade ned CIA:s hemsida med<br />
svordomar gick det att vifta bort dem som vandaler. När vi i dag<br />
träffar personer som läser kvartalsrapporter från storföretag innan de<br />
når aktiemarknaden och tar över system som är kraftfulla nog att slå<br />
ut hela internet så är det annorlunda. År 2010 polisanmäldes 2 339<br />
fall av dataintrång i Sverige, fler än någonsin tidigare och nästan fyra<br />
gånger så många som för fem år sedan. Men för varje dataintrång<br />
som offentliggörs sker tio gånger fler i det fördolda. I en alltmer uppkopplad<br />
värld borde detta vara en varningsklocka. För den som har<br />
makten över nätet har, i allt väsentligt, makten över våra liv.<br />
Linus Larsson & Daniel Goldberg<br />
Stockholm, januari 2011<br />
13
Historien om Stakkato<br />
»Mitt liv hade varit bättre om jag bara hade spelat fotboll i stället«<br />
Uppsala, 16 maj 2006<br />
KrImINalINSpEKtör lEIf ErIKSSoN sjönk ner i en stol inne på sitt<br />
arbetsrum. Ännu ett vittne, den här gången en 18-årig kvinna som<br />
stod närmare den misstänkte än de tidigare, satt mitt emot honom<br />
framför hans skrivbord. Klockan var kvart över tre på eftermiddagen,<br />
Leif Eriksson ställde en första fråga och kvinnan berättade.<br />
Hon hade träffat Philip Pettersson hösten 2004 och de hade blivit<br />
ett par. I början hade allt kretsat kring datorer, speciellt kring operativsystemet<br />
Linux. Snart hade hon förstått att han var mer än en<br />
duktig programmerare som gick första året på IT-gymnasiet i Uppsala.<br />
För honom tycktes allt handla om säkerhet, lösenord och om att<br />
ta sig in i främmande system. Eller åtminstone om att veta hur man<br />
gjorde. Även hon själv hade både intresset och kunskapen. Framför<br />
sin dator var hon kapabel till betydligt mer än den genomsnittlige<br />
användaren och redan under gymnasiet hade hon börjat extraknäcka<br />
som tekniker åt privatpersoner med datorproblem.<br />
Jo, han hade visat upp artiklarna, texter från amerikanska tidningar<br />
som berättade om hur en <strong>hackare</strong> hade tagit över gigantiska superdatorer<br />
i USA. Mest snack, hade hon trott först.<br />
Leif Eriksson lyssnade. Då och då sköt han in en fråga för att driva<br />
förhöret framåt.<br />
I ett år hade de varit ihop. Hela tiden återkom den där sidan av<br />
honom. En skrytsamhet och ett behov av att hela tiden behöva visa<br />
15
svenska ha c k a r e<br />
upp bedrifter, alltid relaterade till IT-säkerhet, hemlig information<br />
och stängda servrar.<br />
De kom in på koden, den topphemliga från det stora företaget<br />
i USA som alla hade pratat om. Strax innan Philip Pettersson blev<br />
hennes pojkvän hade den stulits av någon som hade hackat företagets<br />
servrar. Leif Eriksson ställde frågan: Hade hon sett den själv?<br />
– Nej.<br />
Polismannen bläddrade bland sina papper och började läsa från en<br />
lista med alias hämtade från nätet. Kvinnan hjälpte till så gott hon<br />
kunde. Några var klasskompisar, andra kände hon inte till. Vilket<br />
namn använde Philip Pettersson? Rebel, även om det kunde stavas på<br />
många sätt. Och så det andra namnet, ett hemligt.<br />
– Något i stil med staket. En gång sa jag någonting som liknade<br />
hans nickname. Han blev tyst och konstig. 1<br />
San Diego, mars 2004.<br />
I ett mörkt rum under San Diegos superdatorcentrum satt Abe Singer<br />
vid sitt skrivbord. Han var en kraftig man, med bockskägg och<br />
ett renrakat huvud som fick honom att påminna om en grovarbetare.<br />
Runt honom låg travar med papper. En flaska tequila och flera<br />
datorer stod uppställda i rummet. Inget exklusivt kontor, men han<br />
trivdes. I källarutrymmet kunde kan sköta sitt och det var nära till<br />
motorcykeln som varje dag stod parkerad utanför.<br />
Byggnaden ovanför var en gråblek kloss med tonade fönster och<br />
utgjorde superdatorcentrets lokaler. De vita parabolantennerna, flera<br />
meter i diameter, på husets tak gav det ett märkligt futuristiskt utseende.<br />
Abe Singer var säkerhetsansvarig på superdatorcentret. Från<br />
det underjordiska rum där han tillbringade det mesta av sin tid höll<br />
han utkik efter avvikelser i flödena av information som tydde på att<br />
någon obehörig tagit sig in. Datorsystemet han ansvarade för var ett<br />
av USA:s största, där forskare utförde beräkningar om allt från klimatförändringar<br />
till framtidens stridsflygplan.<br />
Det var fortfarande morgon när mejlprogrammet blinkade till. Som<br />
16
h i s t o r i e n om st a k k a t o<br />
en av centrets mest framstående säkerhetsexperter var Abe Singer van<br />
vid en full inbox. Men det här brevet fick honom att reagera.<br />
Meddelandet var inte skrivet av en människa utan av ett program<br />
och innehöll en kort varning. Bara sekunder tidigare hade någonting<br />
ovanligt hänt i systemet, ett nätverk av hundratals datorer hopkopplade<br />
till en av världens största superdatorer. Någon hade skrivit ett<br />
kommando som med rätt lösenord skulle ge den inloggade fullständig<br />
makt över systemet. Kommandot kallas sudo, en förkortning av<br />
»superuser do«, och innebär att en vanlig användare ber att få byta<br />
identitet, uppge lösenord och därmed växa till superanvändare med<br />
fullständig och absolut makt, den mest betrodda rollen i ett datorsystem.<br />
Men lösenordet hade varit fel. Det var egentligen ingenting konstigt,<br />
men ändå en tydlig varningsklocka. Även den riktiga superanvändaren<br />
kunde ju slinta på tangenterna, men för säkerhets skull var<br />
programmet inställt för att skicka en varning till den säkerhetsansvariga<br />
när det hände.<br />
Abe Singer log för sig själv. Användaren som tycktes ha skrivit fel<br />
var en av centrets mest erfarna systemoperatörer och ett missat lösenord<br />
från honom såg man inte ofta. Han lyfte på luren och ringde<br />
kollegan för att ge en gliring. Stavfel? För ett ögonblick var det tyst<br />
i luren.<br />
– Det var inte jag, svarade kollegan med långsam röst.<br />
Utan att någonting mer behövde sägas förstod de båda vad det<br />
betydde. Någon som inte hörde hemma i systemet hade försökt ta sig<br />
in och gjort anspråk på makt. Abe Singer lade allt annat åt sidan och<br />
började gå igenom systemet för att följa främlingens kommandon. 2<br />
Flera tusen forskare hade tilldelats användarnamn och lösenord<br />
som gjorde att de kunde logga in på anläggningen i San Diego. Var<br />
och en hade rätt till en liten del av systemet, sin egen area där de kunde<br />
lagra mejl, spara filer och framför allt köra de extrema program<br />
som krävde den beräkningskapacitet som man här kunde erbjuda.<br />
Utanför det egna området skulle hela systemet vara låst för användaren.<br />
Så fungerar alla system som delas av flera personer. Utan denna<br />
17
svenska ha c k a r e<br />
rangordning skulle vem som helst kunna läsa andras mejl, ta del av<br />
andras filer och till och med stänga av en anläggning som måste vara<br />
tillgänglig dygnet runt.<br />
Snabbt fick Abe Singer fram den viktigaste informationen om det<br />
misstänkta kontot. Anslutningen kom utifrån, någonstans på internet.<br />
Försöket att bli superanvändare hade skett på en central dator<br />
som används för att kontrollera stora delar av centret. Att ta över den<br />
skulle ge en inkräktare en utmärkt plats att jobba sig vidare från och<br />
ta kontroll över fler datorer. Filerna Abe Singer nu skummade igenom<br />
visade att intrångsförsöket hade kommit in via en mindre dator<br />
i nätverket, en vanlig skrivbordsmodell i en annan del av lokalerna.<br />
Dessutom – angriparen var fortfarande inloggad på systemet.<br />
Han rasslade ner ett kommando på tangentbordet. Ansluten. Svart<br />
text på vit bakgrund visade datorns namn. Nu blickade Abe Singer<br />
rakt in i samma dator som <strong>hackare</strong>n. På skärmen visade det sig bara<br />
genom en rad med text, men bakom uppkopplingen måste det sitta<br />
en människa, någon som är beredd att bryta sig in och kanske – om<br />
Abe Singer hade otur – både kunde och ville förstöra de system han<br />
tagit sig in i.<br />
Allt var stilla. Inkräktaren tycktes inte göra någonting. Vad väntade<br />
han på? Abe Singer avvaktade. Att avbryta uppkopplingen och<br />
slänga ut honom hade varit enkelt, men reglerna var strikta på den<br />
punkten: Det gäller att övervaka, inte att koppla bort. Den som har<br />
hittat ett hål att ta sig in genom kommer hitta det igen och komma<br />
tillbaka, den gången mer uppretad än tidigare. Därför är det klokare<br />
att iaktta, lära sig angriparens tekniker och taktik. Det här var en<br />
sådan situation.<br />
I några minuter stirrade Abe Singer på skärmen i väntan på att<br />
någonting skulle hända. Sedan bröts uppkopplingen. Hackaren var<br />
borta. I samma sekund utlöstes en kedja av mekanismer som <strong>hackare</strong>n<br />
riggat upp. Loggfilerna raderades, alla spår efter intrånget städades<br />
upp. Datorn han tagit sig in i skulle framstå som orörd.<br />
»Han måste ha märkt att han var upptäckt«, tänkte Abe Singer<br />
medan han gick tillbaka till loggfilerna och fortsatte leta. En tanke<br />
18
h i s t o r i e n om st a k k a t o<br />
gnagde: Hade han gjort rätt som loggade in på den angripna maskinen?<br />
Erfarna <strong>hackare</strong> håller koll på vilka andra som är anslutna till en<br />
dator de håller på att utforska. Så snart en systemoperatör kommer i<br />
närheten vet de att de inte kan agera i hemlighet och drar sig tillbaka.<br />
Bara riktiga amatörer missar en sådan sak. Det var alltså ingen nybörjare<br />
Abe Singer hade att göra med.<br />
San Diegos superdatorcentrum höll vid den här tiden på att starta<br />
ett av världens mest kraftfulla datorsystem. När den internationella<br />
topplistan uppdaterades tre månader senare fanns bara 22 system i<br />
hela världen med större beräkningskraft än San Diego-centrets stolthet<br />
Data Star. Anläggningar av den här storleken är så snabba och<br />
kan hantera sådana informationsmängder att deras styrka beskrivs i<br />
helt andra termer än vanliga datorer. Bara utvalda forskare i universitets-<br />
och storföretagsvärlden kommer i närheten av dem, och de<br />
kostar tiotals miljoner kronor att köpa in och installera. San Diegocentret<br />
är en del av University of California, men en del av pengarna<br />
kommer från både det amerikanska försvarsdepartementet och myndigheten<br />
för avancerad försvarsforskning, DARPA. 3<br />
Att en unge med grundläggande datorkunskaper kommit över lösenordet<br />
till en enskild forskares konto kunde Abe Singer leva med,<br />
åtminstone tillfälligt. Riktigt farligt blev det först när någon tog sig<br />
längre än så, speciellt om inkräktaren fick tillgång till de servrar där<br />
ofantliga mängder forskningsdata fanns lagrad. Att sätta ett exakt<br />
värde på informationen som fanns lagrad i San Diego är svårt, men<br />
2008 uppgavs forskningen som bedrevs med USA:s superdatorer vara<br />
värd sammanlagt 271 miljoner dollar. 4<br />
För att inte tala om skammen över att kronjuvelen skulle ha tagits<br />
över av en utomstående. Ännu tycktes det inte ha hänt. Vem – eller<br />
vilka – det än var som hade försökt ta sig förbi säkerhetsspärrarna så<br />
var det bara en del av systemet som var knäckt. En central del, men<br />
inte hela.<br />
Abe Singer satt med blicken klistrad vid skärmen och sökte efter<br />
ledtrådar som kunde hjälpa honom vidare. Snart började han se ett<br />
mönster kring det misstänkta kontot. Först hade lösenordet använts<br />
19
svenska ha c k a r e<br />
för att logga in från ett av de universitet som superdatorcentret samarbetade<br />
med. Ingenting konstigt med det, en forskare kunde vara<br />
på besök i en annan stad och behöva komma åt sina filer hemma.<br />
Inloggningen gav dessutom bara tillgång till en begränsad del av systemet.<br />
Det märkliga var att samma lösenord strax därefter hade använts<br />
från en privat bredbandsuppkoppling. Adressen kunde spåras<br />
till den norra delen av USA:s stillahavskust, en halv kontinent bort.<br />
Sekunder senare hade den nu inloggade personen pepprat anläggningens<br />
olika delar med samma lösenord, ryckt i varje dörr för att se<br />
om den var öppen. På några av dem fungerade det och för varje gång<br />
hade han tagit sig ett steg längre in i universitets komplicerade väv av<br />
servrar och nätverk.<br />
Någonting var helt klart fel, men det slutade inte där. På flera andra<br />
ställen i systemet hittade Abe Singer spår efter en typisk angripare.<br />
Program som inte hörde hemma på en universitetsserver, filer med<br />
lösenord och privat information sparad på fel ställen. Allt pekade<br />
nu åt samma håll. Någon hade tagit sig långt in i åtminstone delar<br />
av superdatoranläggningen och arbetade frenetiskt för att lägga fler<br />
konton, mer information och ytterligare servrar under sin kontroll.<br />
Visst hade han hört rykten. Sedan slutet av 2003 hade superdatorcentra<br />
i hela USA utsatts för systematiska dataintrång som alla gick<br />
till på samma sätt. Varje gång användes ett enskilt lösenord för att<br />
ta sig in, serverns skydd knäcktes med specialskrivna program och<br />
en bakdörr installerades. Under våren 2004 fylldes de amerikanska<br />
universitetsnäten av larm om misstänkta attacker. Månaden efter intrånget<br />
i San Diego publicerade Stanford, det ansedda universitetet i<br />
teknikmeckat Silicon Valley, för första gången uppgifter om intrången<br />
offentligt. Hackaren – eller gruppen av <strong>hackare</strong> – tycktes särskilt<br />
leta efter de mest kraftfulla systemen, hette det i varningen. En skarp<br />
uppmaning, passande nog skriven i alarmerande röda bokstäver, riktades<br />
till systemoperatörer vid USA:s alla superdatoranläggningar: Se<br />
upp, någon försöker ta över just din maskin. 5<br />
Snart började de stora tidningarna få uppgifter om att något stort<br />
höll på att hända. Omkring 20 anläggningar hade fått sina säker-<br />
20
h i s t o r i e n om st a k k a t o<br />
hetsspärrar knäckta, rapporterade Washington Post några dagar senare.<br />
Förutom San Diegos superdatorcentrum hade <strong>hackare</strong>n tagit<br />
sig in i National Center for Supercomputing Applications i Chicago<br />
och det amerikanska energidepartementets forskningsanläggningar<br />
i Chicago och i Idaho. De var några av de viktigaste datorcentren<br />
i USA:s forskarvärld. Flera av dem hade stängts av mer eller mindre<br />
i panik och varit borta från nätet i dagar medan de lagades. En<br />
oroad chefsforskare vid ett säkerhetsföretag presenterade nu en första<br />
skrämmande bild av vad intrången skulle kunna medföra. Anläggningar<br />
med denna kapacitet skulle, om de användes som vapen och<br />
riktades mot rätt mål, kunna slå till med fruktansvärd kraft. Var det<br />
någon som försökte slå ut hela internet? 6<br />
Den amerikanska superdatorvärlden stod på tå. Alla tillgängliga<br />
resurser sattes in för att spåra inkräktaren.<br />
Linköping, 15 juni 2004<br />
Vid lunchtid, knappt tre månader efter upptäckten i San Diego, fick<br />
Leif Nixon besök i sitt arbetsrum, nummer 159, vid Nationellt Superdatorcentrum<br />
(NSC) i Linköping. Han satt som vanligt böjd över<br />
sitt tangentbord, men knackningarna på dörren fick honom att titta<br />
upp. Kollegan där utanför såg oroad ut.<br />
– Har du skapat kontot x_marty? frågade han.<br />
Det hade inte Leif Nixon gjort. Han var vid den här tiden systemexpert<br />
och arbetade med Monolith, Sveriges största superdator och<br />
en del av stadens universitet. Kollegan var känd som en sansad person<br />
och brusade sällan upp. Såg han orolig ut var det värt att ta på<br />
allvar. 7<br />
Kollegan nickade, lämnade Leif Nixons kontor och skyndade vidare<br />
genom korridoren. Ingen på centret ville kännas vid kontot<br />
x_marty. Teknikerna samlades för ett snabbt möte och återvände<br />
sedan till sina terminaler för att kartlägga vad de nu började bedöma<br />
som ett intrång.<br />
Leif Nixons tangentbord smattrade när han skrev in kommandon<br />
21
svenska ha c k a r e<br />
för att undersöka hur superdatorn mådde. Snart hade han den grundläggande<br />
bilden klar för sig. Kontot med användarnamnet x_marty<br />
passade inte in i den komplexa struktur av filer, rättigheter och kataloger<br />
som utgjorde superdatorn. Hade kontot skapats på legitim väg<br />
skulle en kedja av oräkneliga processer ha dragit igång i systemets olika<br />
delar. Kataloger skulle ha bildats, filer ändrats. Superdatorn skulle<br />
ha makat på sig för att erbjuda ännu en användare plats i sitt inre.<br />
Inget av detta hade hänt. I stället hade kontot bara skjutits in som<br />
en kil i ett berg. Det fungerade, men var inte välkommet. Under natten<br />
hade en rutinmässig kontroll körts, en genomgång där systemet<br />
känt efter om alla delar var i synk med varandra. Det var då x_marty<br />
hade upptäckts. Leif Nixons oroade kollega var den som hade fått<br />
larmet.<br />
Superdatorn Monolith bestod av skåp efter skåp med datorer, hopkopplade<br />
för att fungera som en enda. Namnet var på klassiskt teknologmanér<br />
inspirerat av den mystiska monoliten i Stanley Kubricks<br />
science fiction-klassiker 2001: A Space Odyssey. Internationellt kvalade<br />
anläggningen inte ens in på topp 100-listan över världens superdatorer,<br />
men med svenska mått var den gigantisk. Bland användarna fanns<br />
SHMI:s forskningsavdelning, som använde systemet för att utföra<br />
komplicerade klimatberäkningar. Även svenska forskare vid universiteten<br />
kunde använda sig av superdatorn. Upplägget var okomplicerat:<br />
En forskare som betrotts med ett konto loggade in från sitt eget<br />
universitet, laddade upp programmet som skulle utföra beräkningen,<br />
ställde det i kön, loggade ut och väntade. Ett efter ett plockade superdatorn<br />
fram uppdragen och utförde dem snabbare än någon annan<br />
svensk dator hade kraft till. Därefter kunde forskaren återigen ansluta<br />
sig för att ladda hem resultatet. Varje sekund dygnet runt tuggade sig<br />
Monolith igenom uppdragen. Den simulerade atomer åt kvantkemister,<br />
beräknade hållfasthet åt fysiker. Någonstans i virrvarret av metall<br />
och information kunde den vid vilken given tidpunkt som helst<br />
genomföra en simulering som skulle kunna ligga till grund för ett<br />
Nobelpris eller en kommersiell produkt med potential att omsätta<br />
miljardbelopp.<br />
22
h i s t o r i e n om st a k k a t o<br />
Expertisen om hur man bygger och driver superdatorer hade också<br />
gjort att privata intressen, inte minst militärteknologiska, hade ett<br />
stort intresse av vad som pågick på NSC. Faktum är att det kanske<br />
inte skulle ha funnits någon superdator i Linköping om det inte<br />
vore för JAS 39 Gripen. 8 Den första beställningen på 30 Gripenplan<br />
1983 gav Saabs militära sida ett behov av massiva datorsystem för<br />
avancerade beräkningar kring hållfasthet, elektromagnetiska fält och<br />
aerodynamik. Samma år köptes den första superdatorn in, en Cray-1<br />
som fick smeknamnet »soffan« på grund av sin säregna form. Den<br />
drogs igång med hjälp av experter vid universitetet, och ställdes upp<br />
i Saabs lokaler bakom flera låsta dörrar, den sista skyltad »röd zon«.<br />
Utan tillgång till den röda zonen fanns det bara två sätt att logga in<br />
på datorn som utförde tidiga beräkningar kring bygget av Gripen:<br />
En larmad terminal bakom pansarglas på Linköpings universitet och<br />
en motsvarighet på KTH i Stockholm, enligt obekräftade uppgifter<br />
inrymd bakom en dörr med texten »städskrubb«. År 2004, när<br />
intrången upptäcktes, drev experterna vid NSC inte mindre än sju<br />
superdatorer hos Saab.<br />
Tidigt på eftermiddagen, ett par timmar efter att intrången upptäckts,<br />
kunde teknikerna i Linköping enas om några grundläggande<br />
slutsatser. Någon hade tagit sig in i systemet, fått tillräcklig makt över<br />
det för att skapa sitt eget användarkonto, men inte gjort det på rätt<br />
väg. Den första åtgärden var att stänga av inloggningsfunktionen.<br />
Helst skulle bara de angripna kontona blockeras, men gruppen bestämde<br />
snabbt att det var för osäkert. Ingen fick komma åt systemet<br />
innan allt var tätat.<br />
Den namnlöse angriparen hade lyckats göra sig till superanvändare<br />
på Monolith. Att få root, fullständig tillgång till ett system, kan en<br />
<strong>hackare</strong> lyckas med på två sätt. Antingen snokar han reda på det<br />
hemligaste lösenordet som bara en högt uppsatt, betrodd administratör<br />
ska känna till. Eller så lurar han systemet att dela med sig av<br />
makten och tillfälligt höja en vanlig användares status. Nu var det<br />
Leif Nixons jobb att ta reda på hur det hade gått till. Försiktigt gick<br />
han igenom den isolerade superdatorn, som en kriminaltekniker som<br />
23
svenska ha c k a r e<br />
genomsöker en brottsplats i jakt på DNA eller fingeravtryck. Någonstans<br />
kunde en ledtråd gömma sig, ett spår som <strong>hackare</strong>n hade<br />
glömt att sopa igen, en bortglömd fil eller en loggningsfunktion som<br />
inte kopplats bort. Stängdes datorn av skulle sådana spår kunna gå<br />
förlorade.<br />
Det misstänkta kontot hade skapats tre dagar tidigare, på lördagen<br />
när bemanningen vid superdatorn var som lägst. Precis som i San<br />
Diego visade loggfilerna ett besynnerligt mönster. Inloggningarna<br />
hade omväxlande kommit från Johns Hopkins-universitetet i Baltimore<br />
i nordöstra USA, IT-fakulteten vid det israeliska Technionuniversitetet<br />
och från en vanlig svensk bredbandsuppkoppling. Strax<br />
därefter: Chalmers tekniska högskola och fyra separata enheter vid<br />
KTH i Stockholm. Det var en tydlig signal på att det här var något<br />
mer sofistikerat än en ensam person som råkat hitta lösenordet på<br />
en slarvigt hanterad papperslapp. Men just nu var en annan detalj<br />
viktigare. Inifrån Monolith hade x_marty-användaren upprättat anslutningar<br />
till fler svenska universitet. Av allt att döma var Monolith<br />
i Linköping bara en knutpunkt i en komplicerad väv av hackade system.<br />
Den osynlige angriparens tentakler spred sig över den svenska<br />
universitetsvärlden och vidare utanför landets gränser.<br />
Leif Nixon funderade. Ännu hade ingenting förstörts i systemet.<br />
Ingen hemsida hade bytts ut, inga filer hade raderats. Inte heller<br />
tydde någonting på att <strong>hackare</strong>n varit på jakt efter någon särskild information.<br />
Stora system hade visserligen hackats förr utan något tydligt<br />
syfte. Spänningen och prestigen räckte för många, det visste Leif<br />
Nixon. Att den som hade tagit sig in också hade upprättat anslutningar<br />
till fler universitet tydde på att även dessa fått lösenord stulna.<br />
Kanske var Monolith, trots sin superdatorstatus, inte den slutgiltiga<br />
trofén. Hackaren kunde vara på väg någon annanstans.<br />
En loggfil avslöjar, om den inte har rensats, varifrån en inkräktare<br />
kommer senast. Men en dator man kan logga in på kan man också<br />
använda som en katapult för att ta sig till nästa ställe. X_marty såg<br />
vid ett tillfälle ut att komma från Israel. Men till det israeliska systemet<br />
kunde han ha kommit från ett företagsnätverk i Japan. Och vari-<br />
24
h i s t o r i e n om st a k k a t o<br />
från loggade han in där? En hackad dator i Kazakstan? Kedjan kan<br />
gå flera varv runt jorden. Även om det slutliga målet finns i samma<br />
byggnad som <strong>hackare</strong>n så strömmar varje tecken och kommando han<br />
skriver genom kablar på Atlantens botten, via fiberkablar i Centralasien.<br />
Kedjan växer, bygger en sköld och gör spårningsarbetet oerhört<br />
tidskrävande. Varje server <strong>hackare</strong>n studsar genom blir ännu en dimridå<br />
att gömma sig bakom. Allt som behövs är fungerande konton<br />
på anläggningarna som utnyttjas. Med största sannolikhet var kontot<br />
på Technion i den israeliska kuststaden Haifa också hackat. Troligtvis<br />
användes Monolith för att maskera intrång till ytterligare ställen.<br />
Varje maskin kunde vara både ett mål och en gränsstation. Det mest<br />
uppseendeväckande var den privata bredbandsuppkopplingen.<br />
Om Leif Nixon hade arbetat på ett företag i stället för inom den<br />
akademiska IT-världen hade han troligtvis tänkt och agerat annorlunda.<br />
Att som IT-ansvarig blotta sig och öppet erkänna att man utsatts<br />
för dataintrång kan skrämma bort både kunder och samarbetspartner,<br />
ses som ett tecken på oduglighet och en god anledning för vilken<br />
kund som helst att gå till en konkurrent. IT-säkerhetsansvariga, med<br />
mer intresse för att hålla systemen täta än orderböckerna fulla, svär<br />
ofta över sådana principer. Att spåra intrång och täppa till luckor blir<br />
alltid lättare ju mer information som finns tillgänglig.<br />
Ingen krävde med andra ord att Leif Nixon skulle mörklägga det<br />
som hade hänt på Monolith. Han bestämde sig för att varna sina<br />
kollegor, både i Sverige och utomlands. Tekniker vid Johns Hopkinsuniversitetet<br />
i Baltimore och vid Technion i Haifa fick varsitt brev.<br />
Efter det slog han upp en webbläsare på skärmen och gick in på<br />
Chalmers hemsida för att hitta någon att kontakta. Väl inne på hemsidan<br />
förstod Leif Nixon att andra redan slagit larm, och att det var<br />
han som hade missat informationen. Varningstextens budskap var<br />
tydligt. Lösenord till stora delar av Chalmers nätverk hade stulits.<br />
Intrången hade nått långt in i universitets många IT-system. Och det<br />
värsta: Meddelandet hade legat där på hemsidan i flera veckor. Leif<br />
Nixon kände irritationen stiga. Varför hade ingen sagt någonting?<br />
För en tekniker hade det varit en enkel sak att se kopplingen till<br />
25
svenska ha c k a r e<br />
NSC och skicka över informationen. Ett snabbt mejl med bifogade<br />
loggfiler hade varit tillräckligt. I stället hade personen som gömde<br />
sig bakom x_marty-kontot fått gott om tid på sig att utforska superdatorns<br />
delar, samla på sig information och testa alla knep för att ge<br />
sig själv större makt. Nu stod Monolith påslagen men avstängd från<br />
omvärlden som en brottsplats, allt för att behålla den i precis samma<br />
skick som den var när inkräktaren hade avslöjats.<br />
Leif Nixon fortsatte att leta efter spår från intrånget. Han satt som<br />
limmad vid sin kontorsstol och kunde knappt slita blicken från skärmen.<br />
Överallt syntes fler spår efter angriparen. Lunchtiden passerade.<br />
Hela eftermiddagen och en stor del av kvällen gick medan han<br />
granskade loggfilernas rader och sökte efter tecken på att fler centrala<br />
filer bytts ut eller diskret modifierats för att tjäna <strong>hackare</strong>ns syften.<br />
Det var långt efter vanlig arbetstid när han yr av hunger och med<br />
svidande ögon reste sig, lämnade den röda tegelbyggnaden och tog<br />
cykeln hem för att snabbt få i sig mat. I huvudet malde tankarna. Vad<br />
hade gått fel? Vilken bakdörr hade lämnats öppen och vem var det<br />
som hade tagit makten över superdatorn? Han slängde i sig middagen.<br />
En kort stund senare var han tillbaka på kontoret och loggade in<br />
på Linuxdatorn i sitt arbetsrum. Den veckan skulle han jobba i över<br />
80 timmar. Allt handlade om den ännu namnlöse inkräktaren.<br />
Informationen från Chalmers gav ändå viss vägledning. Kollegorna<br />
i Göteborg hade gått igenom systemets alla delar för att hitta<br />
och rensa bort bakdörrar som planterats av <strong>hackare</strong>n. Men den viktigaste<br />
ledtråden hittades paradoxalt nog vid anläggningens utgång,<br />
det program som anställda använde för att logga in på andra system,<br />
till exempel på superdatorn Monolith. Varje sådan uppkoppling<br />
körs via ett program som tar emot lösenordet och skickar det till<br />
systemet forskaren ska logga in på för godkännande. Denna uppgift<br />
sköttes precis som vanligt, men i bakgrunden pågick någonting helt<br />
annat. I det tysta hade programmet bytts ut mot <strong>hackare</strong>ns modifierade<br />
version. Den kopierade varje lösenord och smusslade undan<br />
det till en väl dold dator någonstans i världen. Som en trojansk häst<br />
gav programmet intryck av att utföra sina funktioner precis som<br />
26
h i s t o r i e n om st a k k a t o<br />
det skulle, men trålade i själva verket nätverket efter fler lösenord,<br />
dygnet runt. Hackaren kunde luta sig tillbaka och se hur listorna<br />
på hans egen server växte med fler och fler fullt fungerande inloggningsuppgifter.<br />
Leif Nixon undersökte motsvarande program på sin egen anläggning.<br />
Vid en första anblick såg allt ut att vara som vanligt. Programmets<br />
datumstämpel visade att ingen rört det på länge, men nu var<br />
han inte beredd att lita på någonting. Han letade upp ett program,<br />
specialskrivet för datorer som drabbats av intrång med avancerade<br />
funktioner för att upptäcka inkräktarens trick. Leif Nixon hade genomskådat<br />
bluffen. Till synes odramatiskt redovisades att programmet<br />
som varje lösenord passerar genom hade bytts ut. Tid: 02:09,<br />
natten mot söndagen den 12 juni 2004. Samma natt som x_marty<br />
hade uppstått. Datumet hade varit falskt, ett slugt trick för att hålla<br />
intrånget hemligt. 9<br />
Knepet kan liknas vid en brevbärare som hanterar tusentals kuvert.<br />
Varje gång han ska dela ut ett brev öppnar han först kuvertet,<br />
tar en kopia av brevet som han sparar, lägger tillbaka originalet och<br />
levererar det till adressaten. Högen med kopierade brev växer, men<br />
mottagaren har fått sitt kuvert och märker inte att någonting skulle<br />
vara fel. Liknelsen haltar något, eftersom brevbäraren skulle behöva<br />
bryta ett kuvert för att läsa innehållet. Spionprogrammet på Monolith<br />
lämnade inga sådana spår efter sig.<br />
Nu skulle <strong>hackare</strong>n rökas ut. Varje vrå av den svenska superdatorn<br />
undersöktes. De viktigaste lösenorden byttes ut, program som inkräktaren<br />
installerat togs bort och bakdörrar täpptes till. Dagen efter<br />
att intrånget upptäcktes lades en kort text ut på superdatorcentrets<br />
hemsida. Ingen idé att sitta och trycka på informationen. Alla korten<br />
skulle läggas på bordet.<br />
»Intrång – konton avstängda«, inledde det koncisa meddelandet.<br />
Centret gick nu ut med uppgifter om att en serie intrång de senaste<br />
dagarna hade utförts med hjälp av stulna lösenord. Chalmers tekniska<br />
högskola i Göteborg pekades ut som källan där spionprogrammet<br />
legat i bakgrunden och fiskat upp lösenord. Tills vidare skulle alla<br />
27
svenska ha c k a r e<br />
användares konton stängas av och nya lösenord skickas ut. Det hade<br />
varit enkelt via mejl, men nu var Leif Nixon inte längre beredd att<br />
ta några risker. De nya kontouppgifterna skulle skickas med posten.<br />
Tills vidare fick forskarna klara sig utan tillgång till Monolith. Troligtvis<br />
var det aldrig <strong>hackare</strong>ns mål att stänga eller förstöra systemen<br />
han tog över, men resultatet av hans intrång blev ändå att Sveriges<br />
spjutspetsanläggning blev obrukbar de där dagarna i juni.<br />
Leif Nixon och hans kollegor tvingades erkänna att spionprogrammet<br />
också hade ställt till det på andra system. Användare på Monolith<br />
loggade regelbundet in på universitet över hela landet. Den<br />
som kontrollerade servern dit lösenorden skickades hade därmed fått<br />
tillgång till fullt fungerande konton även där. 10<br />
Det kunde ha blivit slutet på incidenten. Lösenord byttes ut, spionprogram<br />
togs bort. En efter en sågades grenarna som angriparen<br />
hade suttit på av. Två hektiska dygn efter den där tisdagsförmiddagen<br />
kopplades Monolith upp mot internet och började återigen ta emot<br />
uppdrag från forskare. Det var den 18 juni, Leif Nixon hade som vanligt<br />
tagit cykeln till jobbet och i Portugal pågick fotbolls-EM.<br />
Det höll i tre dagar. Sedan ringde telefonen på Leif Nixons arbetsrum.<br />
– Jag får ett konstigt meddelande när jag loggar in, sa personen.<br />
Leif Nixon tryckte fast luren mellan axeln och huvudet för att få<br />
händerna fria till tangentbordet. Användarnamn. Lösenord. Enter.<br />
Hela hans skärm fylldes av en barnsligt ritad gubbe med en antenn<br />
i hatten och ett stort leende på läpparna. Bredvid figuren fanns ett<br />
meddelande på engelska riktat direkt till de ansvariga för superdatorn.<br />
»Att köra Linux är ett jättebra alternativ om du vill dela ditt konto<br />
med alla.« 11 Ovanför och under gubben var meddelandet signerat:<br />
HASCH – Hackers against Swedish Computer Homos.<br />
Leif Nixon slängde på luren, sprang ut i den surrande, tempererade<br />
datahallen och slet ut nätverkskabeln som anslöt Monolith till<br />
internet. Ett klick hördes när kontakten drogs ut och superdatorn<br />
kopplades bort från omvärlden. Hur? De hade gjort allt rätt, bytt<br />
28
h i s t o r i e n om st a k k a t o<br />
\:/<br />
::O:::<br />
/:\<br />
|.<br />
|<br />
#################<br />
#################<br />
$$$$$BEOWULF$$$$$<br />
##########################<br />
/ ### ### \<br />
/ -x- (_X_) \<br />
\ (_o_0_) /<br />
\ l‘---._______/) / RUNNING LINUX IS ALWAYS<br />
\ \ ##|## / / -------{ A GREAT OPTION IF YOU WANT<br />
\ ‘----------’ / TO SHARE YOUR ACCOUNT WITH<br />
\|/ \_____________/ EVERYONE.<br />
| | >*< |<br />
‘------< |* >------.<br />
| |* | |<br />
| ____|*____ | |<br />
)/ \( /|\<br />
| |<br />
___/ \___<br />
(__/ \__)<br />
vartenda lösenord, raderat varje manipulerat program. Hackaren<br />
började framstå som ett spöke. Eller som en svärm kackerlackor,<br />
gömda långt inne i en vrå dit inget gift når.<br />
Linköping, 24 juni 2004<br />
År 2004 tog den svenska polisen emot 720 anmälningar om dataintrång.<br />
Ingen liknade den som den 24 juni lades på Linköpingpolisens<br />
bord. Utredarna drog direkt paralleller till en anmälan som Uppsala<br />
universitet hade lämnat in nästan en månad tidigare. Sedan kom anmälningarna<br />
en efter en. Den 28 juni ringde en tekniker vid Umeå<br />
universitet polisen och berättade att någon tagit sig in i ett 60-tal<br />
datorer knutna till universitetets institution för datavetenskap. Två<br />
dagar senare promenerade en anställd vid KTH i Stockholm in på<br />
Norrmalms polisstation och bad att få anmäla ett brott. Efter tips<br />
från Linköpings universitet hade KTH konstaterat att någon tagit sig<br />
in på systemen vid Institutionen för numerisk analys och datalogi.<br />
29
svenska ha c k a r e<br />
Inkräktaren hade inte nöjt sig med ett vanligt konto utan sett till att<br />
skaffa sig root, fullständig tillgång till systemets funktioner.<br />
På några få dagar förändrades bilden av ett enstaka intrång på ett<br />
universitet till någonting mycket större. Konturerna av en hackarhärva<br />
av en omfattning som inte tidigare setts på svenska universitet<br />
började växa fram. En serie<strong>hackare</strong> tycktes härja, någon som aldrig<br />
gav upp, som aldrig tappade lusten och som redan hade lagt ner fler<br />
byten än någon annan svensk datorbrottsling lyckats med tidigare.<br />
Polisen satte samman en central grupp för att utreda brotten, under<br />
ledning av IT-brottssektionen vid Rikskriminalpolisen i Stockholm.<br />
Därmed flyttades samordningsansvaret från de lokala poliserna ute<br />
i landet till den specialiserade roteln, även om vissa lokala utredare,<br />
inte minst i Uppsala, skulle spela en roll under det kommande året.<br />
Det var en tydlig markering om att det här var någonting mer än ett<br />
vanligt IT-brott.<br />
Samtidigt började tekniker vid universiteten organisera sig. Mejltrafiken<br />
de första junidagarna efter att Leif Nixon gjort sin upptäckt<br />
var intensiv. Loggar skickades tvärs över landet, angripna filer jämfördes<br />
för att hitta mönster. Eftersom många av angreppen hade kommit<br />
från universitet i andra länder var ingen till en början säker på<br />
att det rörde sig om en svensk IT-brottsling. Sverige kunde mycket<br />
väl bara vara ett litet hörn på angriparens karta över kapade konton.<br />
Den teorin skulle snart visa sig vara både rätt och fel. Ju fler hackade<br />
lösenord som upptäcktes så kunde desto fler datorsystem, många på<br />
andra sidan jordklotet, antas ha hamnat i <strong>hackare</strong>ns händer. Men ett<br />
ödesdigert misstag hade gjort att han hade lämnat ett spår efter sig,<br />
djupt inne i Uppsala universitets nätverk.<br />
Christian Nygaard var systemadministratör vid Matematiska institutionen<br />
på Uppsala universitet, ett av de system som knäcktes<br />
flera veckor innan en nationell brottsutredning startades. I sina egna<br />
servrar hade han hittat samma lösenordsstjälande spionprogram som<br />
Leif Nixon upptäckt i superdatorn Monolith. Men i Uppsalaservern<br />
fanns inte bara programmet. Gömd djupt i en diskret namngiven katalog<br />
låg källkoden, den text med instruktioner som ligger till grund<br />
30
h i s t o r i e n om st a k k a t o<br />
för hur programmet fungerar. Källkoden kan liknas vid ritningen till<br />
ett hus som med millimeterprecision visar byggnadens konstruktion.<br />
En programmerare som vill dölja funktioner i ett program gör klokt<br />
i att radera sådana filer. Varför <strong>hackare</strong>n hade missat det är än i dag<br />
oklart. Kanske blev han avbruten mitt i brottet. Kanske glömde han<br />
helt enkelt bort det. Klart är att Christian Nygaard inte behövde titta<br />
länge på koden för att få några viktiga ledtrådar.<br />
I funktionen som skapats speciellt för att stjäla lösenord användes<br />
nämligen ordet »knark«. Inte av någon speciell anledning, vilket ord<br />
som helst hade fungerat. Men eftersom ord som detta inte syns i ett<br />
färdigt program – om man inte vet vad man letar efter – så roar sig<br />
vissa programmerare med att välja tramsiga alternativ. Christian Nygaard<br />
drog några snabba slutsatser av ordvalet: angriparen var ung,<br />
svensk och han kunde göra misstag.<br />
I koden fanns också adressen till den dator som användes för att<br />
samla in lösenorden. Namnet var inte utskrivet i klartext, utan hade<br />
maskerats till en sträng obegripliga tecken. Men med några enkla<br />
handgrepp kunde den göras läsbar.<br />
suckysuckyfivedollah.ath.cx<br />
Adressen hade registrerats under ett falskt namn. Den såg ut att tillhöra<br />
Mike Heiler, en framstående agent inom FBI:s avdelning för<br />
bekämpning av IT-brottslighet. Namnet på servern var sannolikt en<br />
referens till den tecknade serien South Park, där den knubbiga karaktären<br />
Cartman efter ett slag mot huvudet tror att han är Ming-Lee,<br />
en vietnamesisk prostituerad som säger just denna replik. Scenen parafraserar<br />
den klassiska Vietnamfilmen Full Metal Jacket, men oavsett<br />
var inspirationen kom från så stämde ordvalet bra överens med bilden<br />
av en tonårig <strong>hackare</strong> som spydigt valde sina egna referenser när<br />
han skapade verktygen för sin räd av dataintrång. 12<br />
Var för sig sa de två ledtrådarna inte mycket om vem som gett sig<br />
på Uppsala universitets datorsystem. Men erfarna hackarjägare vet<br />
att det är små, till synes obetydliga detaljer som dessa som kan få en<br />
31
svenska ha c k a r e<br />
utredning i rätt riktning. Christian Nygaard öppnade sin webbläsare,<br />
knappade in den speciella stavningen av dollar (»dollah«) tillsammans<br />
med ordet knark i Google och tryckte enter. Sökningen ledde<br />
till en artikel på en slovakisk webbserver som publicerats redan 2003.<br />
Artikeln, egentligen snarare en manual för en avancerad hackarmetod,<br />
var signerad »Rebel«. Nu fanns ett misstänkt namn. Tack vare<br />
att Rebel avslutade artikeln med hälsningar till andra <strong>hackare</strong> började<br />
konturerna av en krets växa fram. Ingenting av detta skulle räcka för<br />
en fällande dom, men det var åtminstone ett första spår.<br />
Den 16 juni, dagen efter intrången mot Monolith hade upptäckts,<br />
skickade Christian Nygaard vidare informationen han hade upptäckt.<br />
Leif Nixon i Linköping letade upp det modifierade programmet,<br />
knappade in ett kommando som sökte igenom filen efter ordet knark<br />
– och fick en träff. Nu rådde det ingen tvekan om att det var samma<br />
person som hackat båda systemen. Över hela Sverige testade administratörer<br />
samma sak. Mycket riktigt: Ordet knark återkom överallt.<br />
Vid tiotiden på förmiddagen den 18 juni 2004 damp ett mejl från<br />
USA ner i Leif Nixons inbox. Hans meddelande till Johns Hopkinsuniversitetet<br />
hade satt fart på kollegorna på andra sidan Atlanten.<br />
Oberoende av den svenska utredningen hade tekniker där börjat bygga<br />
nätverk mellan universitet och forskningsanläggningar där märkliga<br />
saker hände i datorsystemen. En organisation för hackarjakten<br />
hade vuxit fram efter Abe Singers upptäckt i San Diego och liknande<br />
larm på så gott som alla av de mest framstående superdatoranläggningarna<br />
i USA.<br />
»Jag har fått information om dig från en kontakt på Johns Hopkins-universitetet.<br />
Han säger att du har uppmärksammat dem på<br />
misstänkt trafik till några av era maskiner«, skrev amerikanen. »Jag<br />
har mer information du kan vara intresserad av. Vi har övervakat en<br />
maskin som vi vet har tagits över vid ett universitet här i USA. Vi har<br />
sett trafik mellan den maskinen och följande i Sverige.«<br />
En lista över fyra internetadresser följde. En av dem var den svenska<br />
bredbandsuppkoppling Leif Nixon stött på tidigare. De två<br />
efter följande hörde till Uppsala universitet respektive Chalmers.<br />
32
h i s t o r i e n om st a k k a t o<br />
Den fjärde stod i samma byggnad som Leif Nixon satt i och innehöll<br />
super datorcentrets webbserver, som alltså innehöll hemsidan,<br />
ansiktet utåt för NSC. 13<br />
Att sabotera en webbsida och ersätta den med <strong>hackare</strong>ns eget föraktfulla<br />
eller obscena innehåll är den kanske mest kända formen av<br />
dataintrång. Mängder med sajter byttes redan under 1990-talet ut mot<br />
bilder på kvinnobröst, <strong>hackare</strong>s hälsningar till sina kumpaner eller<br />
konkurrenter och länkar till mer eller mindre ljusskygga webbforum.<br />
Inte sällan passade angriparen på att håna systemadministratören för<br />
den bristande säkerheten och skryta om hur lätt det hade varit att ta<br />
sig förbi spärrarna.<br />
I debatten som följer efter ett sådant intrång argumenterar vissa<br />
för att det är rätt att ta sig an och sabotera en webbplats som inte<br />
skyddas tillräckligt. Resonemanget brukar dels bygga på att <strong>hackare</strong>n<br />
bara hjälper till att hitta säkerhetsluckor som andra ändå skulle ha<br />
utnyttjat, dels på att den sajtägare som inte kan skydda sig får skylla<br />
sig själv. »Slår ni sönder fönsterrutor för att visa att det går också?«<br />
brukar det irriterade svaret bli.<br />
Däremot är denna typ av angrepp inte den mest ansedda. Riktiga<br />
<strong>hackare</strong>, heter det ofta, förstör inte ett system han eller hon har tagit<br />
över. Att vanställa (»deface« på engelska) en webbplats är ett säkert<br />
recept för att bli utkastad, medan en mer mogen angripare hellre<br />
vill behålla sin tillgång till servern. Dessutom tyder sabotaget på ett<br />
barnsligt behov av uppmärksamhet, även utanför den slutna kretsen<br />
av säkerhetskunniga. Då och då tar även mer ansedda <strong>hackare</strong> till<br />
sådana grepp, men bara när det politiska målet anses helga medlen.<br />
Aldrig som en sport.<br />
Att Belate, som webbservern hette, hade utsatts för intrång var i<br />
sig ingen nyhet. Men inkräktaren hade inte lyckats knäcka tillräckligt<br />
många säkerhetsspärrar för att ta makten över hela maskinen. Däremot<br />
skulle mejlväxlingen som följde bli början på en världsomspännande<br />
jakt på den som hemsökte datorsystem över hela jordklotet<br />
och med samma knep lyckades ta sig in överallt, om och om igen.<br />
Mannen som hade skickat mejlet till Leif Nixon hette Jim Barlow<br />
33
svenska ha c k a r e<br />
och skulle komma att bli den amerikanska universitetsvärldens inofficiella<br />
samordnare av undersökningen. Med titeln »head of security<br />
operations and incident response« på National Center for Supercomputing<br />
Applications vid Illinois-universitetet var det en naturlig<br />
roll. Till honom skulle andra systemoperatörer våga dela med sig av<br />
information och ledtrådar. Eftersom de första intrången i USA hade<br />
upptäckts månader innan den svenska universitetsvärlden vaknade<br />
fanns där redan den provisoriska organisationen på plats. Vad som<br />
hade börjat som spontana samtal från en tekniker till en annan hade<br />
utvecklats till regelbundna telefonkonferenser en gång i veckan där<br />
de berättade för varandra om vilka datorer som fallit offer sen sist,<br />
om den ihärdige <strong>hackare</strong>ns senaste strategier, framgångar och bakslag.<br />
Kontaktnätet som uppstod i jakten sträckte sig över hela USA.<br />
Än i dag finns det kvar och medlemmarna kopplar fortfarande upp<br />
sig mot en telefonkonferens en gång i veckan för att rapportera misstänkta<br />
och bekräftade fall av hackarattacker. 14<br />
I takt med att fler anslöt sig kom mer av härvan upp i ljuset. Redan<br />
i april 2004 hade hundratals, kanske tusentals, hackade universitetsdatorer<br />
upptäckts. Samtliga anläggningar i TeraGrid-nätverket, som<br />
kopplar samman den amerikanska universitetsvärldens mest kraftfulla<br />
system, rapporterade nu intrång som alla visade upp slående<br />
likheter. Samma verktyg användes, likadana metoder och knep. Från<br />
samtliga anläggningar strömmade tusentals och åter tusentals lösenord<br />
in till en central server, kontrollerad av <strong>hackare</strong>n själv.<br />
Leif Nixon och Jim Barlow hade utbytt data och jämfört sina iakttagelser<br />
i tre dagar när svensken berättade om svenska synonymer till<br />
narkotika.<br />
»Det är min övertygelse«, skrev han i ett brev daterat den 21 juni,<br />
»baserat på variablernas namn, att programmeraren som skrev sendit-funktionen<br />
är svensk. Att använda ›knark‹ på det sättet är svensk<br />
tonårsslang.« 15<br />
Sendit-funktionen var den kodsnutt som smugglade ut användarnamn<br />
och lösenord till en dator angriparen kontrollerade. Vid den här<br />
tidpunkten var hypotesen att <strong>hackare</strong>n var svensk ständigt närvarande.<br />
34
h i s t o r i e n om st a k k a t o<br />
I USA var han inte längre namnlös. En dag i början av maj möttes<br />
användare anslutna till superdatorcentret i San Diego av ett märkligt<br />
meddelande. Plötsligt fylldes deras skärmar av en bild, ritad med<br />
vanliga tecken och bokstäver, som föreställde ett får som bajsade.<br />
»Reeetard y00 in sheeepie POOOH!« stod skrivet under fåret. Teckningen<br />
bar en signatur som tydde på att avsändaren led av storhetsvansinne:<br />
»BOW YOUR HEAD TO STAKKATO.«<br />
Stakkato. Namnet skulle om och om igen återkomma i spår och<br />
meddelanden som <strong>hackare</strong>n lämnade efter sig. Ursprunget är oklart.<br />
Men förutom en benämning på att framföra ett musikstycke stötvis<br />
delas namnet med en tysk hopphäst som beskrivs som en av de mest<br />
framstående hingstarna i världen, en referens som kanske åtminstone<br />
tilltalar den mest stereotypa <strong>hackare</strong>n: en ung man med fattigt socialt<br />
liv och ett enormt behov av att kompensera för detta genom sitt alter<br />
ego på nätet.<br />
I IOOOOOOOOOOWN YOOOOOOOOOO!!! MUY TEHCNIQUE IZ NUMBAH ONNNEE U FOOOHL<br />
^\<br />
\ /\/\<br />
\############ |OO|<br />
##############| | -- baaaaah<br />
@############## \/<br />
@ ############<br />
@ ##########<br />
@@@@ /\ /\<br />
@@@@@@ / \ / \<br />
@@@@@@@@^^ ^^ ^^ ^^<br />
^--------- Reeetard y00 in sheeepie POOOH!<br />
** EXTRA EXTRA : ADMINS SUCK EXTRA LARGE SPERM SOAKEN PENIZZZZZZZ **<br />
\|/ _____ \|/<br />
"#' / , o \ `#"<br />
/_| \___/ |_\<br />
\___U_/<br />
BOW YOUR HEAD TO STAKKATO<br />
35
svenska ha c k a r e<br />
Illinois, juli 2004<br />
Bland säkerhetstekniker som nu hjälptes åt att kartlägga <strong>hackare</strong>ns<br />
framfart uppstod två läger. Det ena ville fokusera på att uppdatera<br />
servrarna, sätta in extra skyddsmekanismer och säkra nätverken mot<br />
intrång. Det andra lägret såg ett mönster som skilde attackerna från<br />
många andra: inkräktaren vägrade ge upp. I flera månader hade servrar<br />
tagits bort från nätet, gåtts igenom och lagats, men strax därefter kom<br />
<strong>hackare</strong>n alltid tillbaka. Han framstod som mer ihärdig och skickligare<br />
någon de sett förr. Efter varje åtgärd upptäcktes ett nytt hål, och<br />
fler konton stals. Vissa ville därför inte nöja sig med tekniska åtgärder.<br />
Personen bakom den mystiska suckysuckyfivedollah-servern och de<br />
hackade kontona skulle spåras och hittas. En människa måste gripas,<br />
tas bort från sin dator och fällas i domstol. Det skulle bli en jakt som<br />
pågick i flera månader och slutade på andra sidan jordklotet.<br />
Jim Barlow hade hört till dem som tidigt velat dra igång spårningsarbetet.<br />
Han konfronterade sina chefer med vad som höll på att hända<br />
och fick klartecken att göra spårandet till sin huvuduppgift. Efter<br />
en kort tids försök att jaga bort <strong>hackare</strong>n från ett ställe bara för att se<br />
honom dyka upp igen lades alltså strategin om. Datorn som samlade<br />
in lösenorden visade sig omöjlig att jaga, eftersom inkräktaren kunde<br />
byta ut den med några snabba kommandon på sitt tangentbord, var<br />
i världen han än befann sig. Den nya strategin gick i stället ut på att<br />
låta datorn vara kvar, övervaka den och på så sätt i varje sekund få<br />
samma information som dess ägare. Adressen pekade alltid till en<br />
server <strong>hackare</strong>n redan tagit över, en period till ett tjeckiskt företag<br />
inom verkstadsindustrin, för att senare flytta vidare. När den en tid<br />
våren 2004 var inställd att skicka lösenorden till en universitetsserver<br />
i USA passade Jim Barlow på. Datorn isolerades men plockades inte<br />
bort från nätet, allt för att Stakkato inte skulle märka att han var<br />
övervakad. Genom att försiktigt iaktta vad som skickades till den<br />
kunde Jim Barlow se intrångens omfattning och vilka anläggningar<br />
som läckte lösenord. Datorn som han nu kunde se rakt in i var som<br />
ett nervcentrum hos en världsomspännande organism, infekterad av<br />
kod och kontrollerad av dess skapare.<br />
36
h i s t o r i e n om st a k k a t o<br />
Där fanns lösenord till svenska och amerikanska system, men även<br />
till anläggningar i andra delar av världen. Vid ett tillfälle ska tusentals<br />
lösenord från flera hundra datorer på ett svenskt universitet ha<br />
kommit in på bara några dagar. Varje gång lösenord till ett nytt system<br />
dök upp på maskinen skickade Jim Barlow och hans kollegor en<br />
skarp uppmaning till de drabbade om att rensa upp i servrarna. 16<br />
Det var då Jim Barlow fick sin idé. Med jämna mellanrum kopplade<br />
Stakkato upp sig mot servern och vittjade sitt nät genom att<br />
ladda hem de stulna lösenorden. Varje rad innehöll bara precis det<br />
som behövdes: Ett namn, datorns internetadress och ett lösenord.<br />
+-+ apl@computer1.sdsc.edu’s password:fURpQQ,,5<br />
+-+ patfhs@ncsa.illinois.edu’s password:akS++4fM<br />
+-+ melisf@ncsa.illinois.edu’s password:vly558C*<br />
Om Jim Barlow kontrollerade datorn som lösenorden skickades till<br />
kunde han också styra vad som skickades till den. Det gällde att vara<br />
nära, iaktta och lära sig, inte att försöka stöta bort någon som alltid<br />
skulle lyckas ta sig in igen. En dator sattes upp med ett enda syfte:<br />
att bli angripen.<br />
Bland säkerhetsforskare kallas det en honungsburk, en fälla som<br />
drar till sig <strong>hackare</strong> på samma sätt som en burk med honung lockar<br />
sötsugna djur. Den ska vara för lockande för att en <strong>hackare</strong> ska kunna<br />
motstå den och dessutom vara så dåligt skyddad att attacken går<br />
snabbt. Från <strong>hackare</strong>ns perspektiv ser en honungsburk ut som vilken<br />
del av nätverket som helst, bara lite mer lockande.<br />
Omsorgsfullt skapades fullt fungerande konton på den fejkade maskinen<br />
som utformats för att se ut som en professors arbetsdator. Den<br />
kopplades till några andra delar av nätverket och gavs ett namn som<br />
inte skulle väcka misstanke. En morgon satte sedan Jim Barlow igång<br />
projektet. Han skrev in lösenordet på samma sätt som spionprogram-<br />
* Uppgifterna ovan är fingerade för att skydda de angripna användarnas uppgifter, men<br />
är till formen identiska med den data som gick till den lösenordsinsamlande servern.<br />
37
svenska ha c k a r e<br />
met gjorde och skickade diskret in det i floden av inloggningsuppgifter<br />
som strömmade till suckysuckyfivedollah-servern. För Stakkato<br />
såg det ut som vilken lösenordsstöld som helst. Jim Barlow lutade sig<br />
tillbaka och väntade. Mängder med liknande konton skickades varje<br />
dag. Fällan var gillrad. Skulle <strong>hackare</strong>n hugga på betet?<br />
Det tog två minuter. Sedan loggade någon in på honungsburken.<br />
Det var som om en fiskare hade kastat ut sin krok och en fisk hade<br />
störtat upp ur vattnet innan betet ens brutit vattenytan. Aldrig hade<br />
han väntat sig en så snabb reaktion. Med tanke på att nya lösenord<br />
stals hela tiden, hur hann hjärnan bakom intrången reagera direkt?<br />
Det fanns någonting maniskt, någonting skrämmande men också<br />
fascinerande över en sådan hunger efter en ny dator att knäcka.<br />
För första gången hade Jim Barlow nu direktkontakt med personen<br />
han jagade och kunde in i minsta detalj se vad han gjorde. På skärmen<br />
framför sig såg han nu, knapptryckning för knapptryckning,<br />
hur någon skrev in kommandon för att utforska datorn och hitta dess<br />
brister. Hackaren hittade en svaghet, körde ett program och växte<br />
till att bli superanvändare. Strax därefter började den inloggade söka<br />
efter fler öppna vägar till andra delar av forskningsnätverket, men<br />
tröttnade när det inte gav utdelning. En kort stund senare hade han<br />
loggat ut. Från <strong>hackare</strong>ns synvinkel hade samma sak hänt hundratals<br />
gånger redan, men för Jim Barlow var det ett genombrott.<br />
Fällan hade fungerat och han hade lärt sig en hel del om metoderna,<br />
säkerhetsluckorna och verktygen som utgjorde grunden för<br />
intrången. Det gav värdefulla tips om vilka hål som behövde tätas<br />
och vilka nya lager av skydd som borde installeras. Men trots att han<br />
i en bemärkelse nyss stått öga mot öga med inkräktaren fanns det en<br />
fråga som var obesvarad: Varför?<br />
Varför lägger någon ner så många timmar och så mycket kraft på<br />
att knäcka dator efter dator? Vad ska dessa tusentals lösenord användas<br />
till? Var det fråga om en brottsling som sökte efter information<br />
att sälja på ljusskygga forum? Hade någon lejt honom för att bereda<br />
tillgång till superdatorernas makalösa beräkningskraft? Höll en främmande<br />
stat på att infiltrera nätverken för att kartlägga amerikansk<br />
38
h i s t o r i e n om st a k k a t o<br />
forskning? Ingen av dessa förklaringar stämde in på mönstret. Personen<br />
som hemsökte systemen glufsade i sig allt, tog över varje tillgänglig<br />
maskin och sparade varje lösenord. Han – statistiken säger<br />
att det sällan rör sig om en kvinna – framstod som ett vilddjur, alltid<br />
hungrig på information, lösenord, tillgång, servrar, uppkopplingar.<br />
Men han verkade sakna ett syfte. Var allt en lek?<br />
Jim Barlow skakade av sig grubblerierna och fortsatte arbeta.<br />
En dag i början av maj satt han på en thailändsk restaurang i<br />
Urbana, Illinois, och åt lunch när hans mobiltelefon ringde. Han<br />
sköt undan tallriken och svarade. Samtalet kom från en kollega som<br />
hjälpte honom att övervaka datorn som samlade in lösenord. Han lät<br />
uppriven.<br />
– Har du kontaktinformation till nån på Cisco? skrek kollegan i<br />
luren.<br />
Cisco är ett av världens viktigaste IT-företag och har till stor del<br />
byggt internets infrastruktur. Företaget, med en omsättning på tiotals<br />
miljarder dollar varje år, levererar de nätverksväxlar och system som<br />
utgör stommen i internet. Så gott som all information som strömmar<br />
över nätet förmedlas genom Ciscos hårdvara. Hemligheterna på<br />
företagets servrar är värda gigantiska pengar.<br />
– Jodå, jag har kontakter där, svarade Jim Barlow som var bekant<br />
med en säkerhetsansvarig på företaget.<br />
– Jag behöver den informationen NU.<br />
Bland de kapade lösenorden, de flesta tillhörande forskare vid<br />
universitet, hade plötsligt en mängd konton till datorer knutna till<br />
adressen cisco.com börjat dyka upp. Med dessa uppgifter skulle Stakkato<br />
kunna få tillgång till åtminstone delar av ett företagsnätverk där<br />
topphemlig kod och företagshemligheter fanns lagrade. Jim Barlow<br />
skyndade tillbaka till sin arbetsplats där han hittade den upprörda<br />
kollegan som redan pratade i telefon med säkerhetspersonal på Cisco.<br />
Universitetsteknikerna lämnade över informationen de hade, Cisco<br />
tackade och sedan blev det tyst i några dagar.<br />
Sedan gjordes ett fynd på ett ryskt nätforum som måste ha skapat<br />
panik inne på nätverksföretaget. Publicerat helt öppet för vem som<br />
39
svenska ha c k a r e<br />
helst att ladda hem låg där delar av källkoden bakom mjukvaran som<br />
styr nätverksväxlarna, de maskiner som håller reda på vilken information<br />
som ska vart på internet. 17 På samma sätt som upptäckten av<br />
källkoden till Stakkatos spionprogram gav hans motståndare en chans<br />
att förstå hur hans verktyg fungerade, får den som kommer över Ciscos<br />
källkod unik insyn i hur företagets mjukvara är uppbyggd. Det<br />
är toppintressant både för konkurrenter som är ute efter att plagiera<br />
och för brottslingar som vill utnyttja svagheter som koden blottlägger.<br />
Ytterst kan det innebära att en brottsling får möjlighet att styra<br />
om internettrafiken som han vill och ta kontroll över nätets själva<br />
nervcentrum.<br />
Nätverksföretaget startade sin egen utredning och höll universitetsvärlden<br />
utanför. Under stor sekretess kopplade Cisco in FBI, som<br />
drog åtminstone en slutsats: koden hade laddats över till en server på<br />
Centrum för genomik och bioinformatik på Karolinska Institutet i<br />
Stockholm. Det skulle dock dröja innan denna koppling till Sverige<br />
blev känd.<br />
Sommaren kom och lösenorden fortsatte att strömma in. Jim Barlow<br />
och hans kollegor skapade fler honungsburkar där de kunde följa<br />
Stakkatos utveckling, men det riktiga arbetet bestod i spårningen.<br />
Arbetet var tidskrävande, och snårigt. Enligt Jim Barlow gömde sig<br />
Stakkato bakom upp till sju lager av hackade servrar. Hans väg in till<br />
en amerikansk superdator gick inte sällan via två eller tre europeiska<br />
universitet, över Atlanten till ett amerikanskt, tillbaka till Europa och<br />
sedan tillbaka till USA igen. Spårningsarbetet bestod i att be varje enskild<br />
anläggning att rota i sina loggfiler och berätta var inloggningen<br />
kom från. Proceduren upprepades gång på gång för varje ny server<br />
<strong>hackare</strong>n hade utnyttjat tills det inte fanns några fler servrar, tills<br />
internetadressen som dök upp inte längre såg ut som ett universitet<br />
eller en myndighet. Alltså tills det var en helt vanlig adress, med .se<br />
som sista del. Jim Barlow bokstaverade sig genom »Bredbandsbolaget«<br />
och förstod det som »broadband something«. 18<br />
En äkta internetadress, som den Jim Barlow kom fram till, är den<br />
känsligaste informationen som finns för en kriminell <strong>hackare</strong>. I sam-<br />
40
h i s t o r i e n om st a k k a t o<br />
ma stund som den kommer i utredarens händer finns det i regel inga<br />
som helst tekniska hinder mot att koppla samman den med en riktig<br />
person. Det enda <strong>hackare</strong>n kan hoppas på är att det gått tillräckligt<br />
lång tid för att bredbandsföretaget inte längre ska ha kvar några loggfiler,<br />
eller att lagen sätter stopp för att personinformationen lämnas<br />
ut till polisen. Någon sådan tur hade inte personen bakom uppkopplingen<br />
från Bredbandsbolaget.<br />
Jakten hade gett resultat. Jim Barlows byte låg inom räckhåll, och<br />
alla spår pekade mot Sverige. Någon skulle få betala. Det var nu i<br />
slutet av juli och fyra månader hade gått sedan Abe Singer fick det<br />
första varningsmejlet.<br />
Rikskriminalpolisen, Stockholm, januari 2005<br />
Polisinspektör Leif Eriksson hade tagit pendeltåget från Uppsala<br />
samma morgon. Nu satt han runt ett bord med kollegor från polisdistrikt<br />
i hela landet. Länspolisen i Stockholm var där såklart. Göteborg<br />
hade skickat personal, Linköping likaså. Någon hade kommit<br />
ända från Umeå.<br />
Alla som var där förstod att det var ett viktigt möte de hade kallats<br />
till. De närvarande hade en sak gemensamt: de arbetade i städer med<br />
stora universitet och hade minst en anmälan om dataintrång mot<br />
akademiska servrar i bokhyllan hemma på kontoret.<br />
Tre oklanderligt klädda män klev in i rummet. De talade engelska,<br />
presenterade sig som agenter vid FBI med IT-brottslighet (»cybercrime«,<br />
som de själva kallade det) som specialitet. De var här för<br />
att berätta om den verkliga omfattningen av vad de spridda svenska<br />
anmälningarna knappt kunde måla konturerna av. Metodiskt berättade<br />
de om vad de hade sett hända i USA. Intrång mot universitet.<br />
Superdatorer som fått sina säkerhetsspärrar knäckta. Mängder med<br />
lösenord stulna från både regeringsanknytna datorsystem och forskningsanläggningar.<br />
Och så koden från Cisco. Sammantaget en av de<br />
största datorintrångshärvorna i historien och spåren pekade hit, mot<br />
Sverige.<br />
41
svenska ha c k a r e<br />
Ip-adresserna som fastnat i loggarna pekade tydligt på att allt utgick<br />
från ett vanligt svenskt hemmabredband. Den preliminära slutsatsen<br />
var att den fanns någonstans i Uppsalatrakten. Fram till den<br />
dagen hade ingen lokal polismyndighet kunnat eller velat ta på sig<br />
hela ansvaret för utredningen. IT-brott är svåra att utreda och kräver<br />
tålamod, tid och erfarna utredare. Materialet som ska sökas igenom<br />
är ofta oöverskådligt stort och det är inte alltid säkert att någon i<br />
slutändan fälls.<br />
I samma stund som hans hemstad nämndes förstod Leif Eriksson<br />
att alltihop skulle landa i hans knä. FBI-agenterna lämnade den information<br />
de hade, tackade för sig och åkte hem. Leif Eriksson svor<br />
tyst för sig själv.<br />
Kort efter mötet utsågs han till förhörsledare och kopplade in<br />
Uppsalas IT-specialiserade åklagare Chatrine Rudström. Hennes meritförteckning<br />
är gedigen, med erfarenhet av så väl åtal mot fildelare<br />
och virusskapare som internetspaning mot narkotikamisstänkta och<br />
åtal mot den så kallade Uppsalamaffians ledare Tjock-Steffe. 19<br />
Högen med anmälningar växte på polisstationen i Uppsala när<br />
utredare i andra städer gladeligen överlämnade dokumenten. I informationshögen<br />
som nu samlades på Leif Erikssons skrivbord fanns<br />
spåren efter <strong>hackare</strong>n tydligt redovisade. Det som återstod var att<br />
förbereda ett tillslag och hämta in den misstänkte till ett förhör. Nu<br />
skulle snaran runt <strong>hackare</strong>ns hals dras åt.<br />
Uppsala, mars 2005<br />
Philip Pettersson låg fortfarande och sov när en bil bromsade in framför<br />
porten till det ljusbruna sekelskifteshuset med burspråk i centrala<br />
Uppsala. Fyra män klev ur bilen. I händerna bar de portföljer. Alla<br />
utom en bar hölster med svarta pistoler av märket Sig Sauer. Fyra<br />
minuter över åtta hade de tagit sig upp genom trapphuset och hittat<br />
dörren, efter att ha retat upp en granne genom att banka på fel port.<br />
Kriminalinspektör Tony Möörk pressade fingret mot dörrklockan.<br />
Signalen bröt tystnaden i lägenheten. I sitt rum vaknade Philip Pet-<br />
42
h i s t o r i e n om st a k k a t o<br />
tersson till av ljudet. Han hade suttit vid datorn till långt in på natten<br />
och kunde knappt se framför sig när han kastade av sig täcket och<br />
lunkade bort mot dörren. Det var en torsdag, den dag då städerskan<br />
brukar komma. Han skulle bara släppa in henne, sen kunde han<br />
somna om. Fortfarande klädd i kalsonger vred han om låset.<br />
I trapphuset hörde Tony Möörk låset rassla till och såg hur dörren<br />
öppnades. En normallång, 16-årig pojke med cendréfärgat hår<br />
stod mitt emot honom, yrvaken. Pojken försökte blinka tröttheten<br />
ur ögonen.<br />
– Det var från polisen. Vi har en order om husrannsakan. Du får<br />
klä på dig och följa med.<br />
I någon sekund stod Philip Pettersson bara där, fortfarande groggy<br />
från det snabba uppvaknandet. Tankarna for genom huvudet på honom.<br />
Han förstod genast vad det handlade om. Vad visste de? Vad<br />
trodde de att de visste? Att streta emot flera fullvuxna, beväpnade<br />
män med lagen på sin sida hade varit lönlöst. Philip Pettersson steg<br />
bakåt och poliserna gick in i lägenheten. Redan i hallen syntes det<br />
att här bodde en datorintresserad ungdom. Hela lägenheten var full<br />
av datorutrustning. På golvet slingrade sig nätverkskablar från rum<br />
till rum. Ingen vuxen fanns i lägenheten, bara Philip Pettersson och<br />
hans bror var hemma. Deras mamma var utomlands på arbete, berättade<br />
de. Tony Möörk var van vid husrannsakningar på adresser som<br />
polisen kommit över genom internetspaning. Mer än en gång hade<br />
det blivit fel. En siffra som bytts ut eller en tidsstämpel som inte<br />
stämde var allt som behövdes för att en helt oskyldig person skulle få<br />
sitt hem invaderat av poliser med anklagelser om barnporr eller bedrägerier.<br />
Röran av datorutrustning tydde på att så inte var fallet den<br />
här gången. »Det här kan nog vara rätt«, tänkte Tony Möörk medan<br />
han såg sig om.<br />
Philip Petterssons mun klibbade torrt och han bad att få ta ett glas<br />
vatten. »Visst.« Han gick mot köket, sträckte sig efter ett glas i skåpet<br />
och fyllde det under kranen. Hela tiden följde en av poliserna tätt<br />
inpå honom, tillräckligt nära för att hindra honom om han skulle<br />
springa mot någon av datorerna och försöka slita ur en strömka-<br />
43
svenska ha c k a r e<br />
bel. När Philip Pettersson hade fått på sig kläder och lämnat över<br />
nycklarna till ytterdörren togs han ner för trapporna, ut på gatan till<br />
den väntande bilen. Han sjönk ned i baksätet och bilen rullade iväg<br />
norrut, mot polisstationen strax utanför stadskärnan.<br />
– Det här kommer du inte glömma. Du kommer komma ihåg det<br />
här ett tag, minns Philip Pettersson att en av dem ska ha sagt.<br />
Poliserna som var kvar började se sig om i hemmet. En imponerande<br />
våning mötte dem. Fem rum och två entréhallar på denna exklusiva<br />
adress mitt i stan. Och så datorer, överallt datorer och nätverksutrustning,<br />
cd-skivor, böcker om programmering och IT-säkerhet.<br />
På skrivbordet vid fönstret i Philip Petterssons rum stod hans bärbara<br />
dator, en laptop av märket HP i svart och silver. Det var en lånedator<br />
från skolan, hade pojken berättat innan han följde med ner för trapporna.<br />
Bredvid låg en portabel hårddisk, kopplad med en kabel till<br />
en av datorns portar.<br />
I Philip Petterssons rum stod ytterligare två datorlådor. Den ena<br />
saknade front och blottade den underliggande elektroniken, den<br />
andra liknade mest en halvt färdigbyggd systemenhet. På golvet i en<br />
garderob med öppning mot både hallen och Philip Petterssons rum<br />
surrade en server av det tysk-japanska märket Fujitsu-Siemens. Tony<br />
Möörk stegade vidare i lägenheten, öppnade garderober och luckor,<br />
kartlade systematiskt alla objekt som kunde ha någonting med dataintrång<br />
att göra. Rum efter rum letades igenom och hela tiden hittade<br />
poliserna mer utrustning. Sammanlagt fanns nio mer eller mindre<br />
fungerande datorer i lägenheten, alla utom en sammankopplade<br />
i ett nätverk anslutet mot internet. Både servern i garderoben och<br />
laptopen var påslagna. Philip Pettersson hade inte haft en chans att<br />
stänga av dem.<br />
Elva minuter efter att ringklockan ljudit drogs kabeln till internet<br />
ur. Det var en helt vanlig hemmauppkoppling från Bredbandsbolaget.<br />
Men över hela världen, på universitet, företag, myndigheter<br />
och superdatorcentrum, andades systemoperatörer ut. Klicket som<br />
hördes när kontakten drogs ur sin sockel skulle innebära slutet på en<br />
serie dataintrång av historiska proportioner. Fem år senare är händel-<br />
44
h i s t o r i e n om st a k k a t o<br />
serna fortfarande ett ämne för utredningar, samtal och konferenser<br />
för superdatortekniker i San Diego, forskare i israeliska Haifa, systemadministratörer<br />
på Nasa och högt uppsatta IT-brottsutredare på<br />
FBI. 20<br />
Att koppla ner datorerna från internet var en ren säkerhetsåtgärd.<br />
Om Philip Pettersson visade sig vara den <strong>hackare</strong> de letade efter så<br />
skulle han ha allt att vinna på att radera sina filer och tömma datorerna<br />
på digitala bevis. Själv kunde han inte komma in i sitt rum<br />
medan husrannsakan pågick, men så länge hans nätverk var uppkopplat<br />
fanns det ändå en möjlighet att komma åt dem. Hackaren<br />
skulle kunna springa direkt från förhöret till vilken internetansluten<br />
dator som helst, logga in och börja radera filer, mitt under pågående<br />
razzia.<br />
Bredbandet var nu klippt och Tony Möörk blev den som fick ta<br />
sig an HP-datorn. Han satte sig på skrivbordsstolen. En videokamera<br />
riggades upp för att filma över hans axel och dokumentera allt som<br />
hände på skärmen. Datorn betraktades nu som en brottsplats, lika<br />
känslig som ett rum där någon mördats och ett kvarlämnat hårstrå<br />
kan innebära skillnaden mellan en fällande dom och att en mördare<br />
går fri. Han lade händerna på de mörka tangenterna och skrev ett<br />
första kommando.<br />
MOUNT<br />
På skärmen visades de lagringsenheter som fanns anslutna. Nio rader.<br />
Den sista fick utredaren att titta en extra gång. Det var en slags<br />
behållare för information på den externa hårddisken bredvid datorn,<br />
ansluten och tillgänglig, men krypterad. Rycktes kabeln ut skulle det<br />
bli omöjligt att komma åt innehållet utan rätt lösenord. Upplägget<br />
var bräckligt och filerna på hårddiskarna behövde omedelbart säkerhetskopieras.<br />
Tony Möörk skapade en ny katalog (»polis») på en säker<br />
del av hårddisken, knappade ner ett kommando och data började<br />
strömma genom kabeln, in på datorns inbyggda hårddisk.<br />
Att kopiera filerna på det här sättet förstörde viktiga aspekter av<br />
45
svenska ha c k a r e<br />
informationen och lämnade en röra av filer efter sig, utan datumangivelser<br />
som visar när de skapats och uppdaterats. Dessutom rasade<br />
felmeddelanden förbi på skärmen och visade att allt inte kom med.<br />
Som bevismaterial hade kopian gjort sig bäst i form av en exakt avbildning,<br />
med allt intakt. Men informationen på den krypterade<br />
hårddisken var som ett korthus. Ett enda misstag och allt kunde gå<br />
förlorat. Snabbkopieringen fick duga.<br />
De filer som ändå följde med skulle visa sig räcka långt. Det som<br />
nu landade i polisens egen katalog kan närmast beskrivas som en<br />
blåkopia av det senaste årets dataintrång mot datorsystem över hela<br />
världen. För första gången stod omfattningen av Stakkatos härjningar<br />
klar för polisen.<br />
Där fanns lösenordsfiler från tusentals servrar i Sverige, Japan, Tyskland,<br />
USA, Nederländerna, Frankrike och Schweiz. Färdigknäckta<br />
lösenord låg sorterade i ett välorganiserat system av kataloger, ett för<br />
varje ställe som hade råkat ut för intrång. I ett fönster på datorn<br />
syntes fortfarande spåren efter »John the Ripper«, ett program som<br />
knäcker krypterade lösenord, som just hade tuggat sig igenom den<br />
hemliga lösenordsfilen från en server på Uppsala universitets Biomedicinska<br />
Centrum.<br />
I datorn fanns källkoden till spionprogrammet som hade hittats<br />
på tusentals datorer. Där låg avancerade program vars enda syfte var<br />
att utnyttja svagheter i angripna system för att ge inkräktaren fullständig<br />
makt. Allt stämde. Filerna var identiska. Ordet knark syntes<br />
tydligt i koden och servernamnet suckysuckyfivedollah.ath.cx fanns<br />
kvar. Tecken för tecken stämde det med vad Leif Nixon hade hittat<br />
i Linköping, Jim Barlow i Illinois och Abe Singer i San Diego. Teckningen<br />
med det bajsande fåret låg där, liksom den hånfulla gubben<br />
som spreds på Leif Nixons anläggning.<br />
Men det mest spektakulära i datorn hade lätt gått den ouppmärksamme<br />
förbi. Det var två textfiler, som tycks ha fungerat som ett slags<br />
tillfälliga anteckningsböcker där någon klistrat in små stycken text.<br />
Informationen var osorterad, närmast kaosartad. Sida efter sida innehöll<br />
filerna lösenord, servernamn och detaljerade uppgifter om dator-<br />
46
h i s t o r i e n om st a k k a t o<br />
systems uppbyggnad. Tillsammans var filerna över 14 000 rader långa,<br />
motsvarande ungefär 250 utskrivna A4-sidor. En gigantisk loggbok,<br />
sprängfull med säkerhetsklassad information. Lösenorden kom från<br />
superdatoranläggningar, universitet, enstaka privata företag. Men<br />
också från adresser som slutade på .mil och .gov, alltså delar av den<br />
amerikanska militären och statsförvaltningen. Där fanns detaljer om<br />
army.mil, den amerikanska arméns datorsystem, och nasa.gov. Flera<br />
av dem kunde kopplas till det amerikanska energidepartementet, med<br />
ansvar för säkerheten i landets kärnkraftverk.<br />
Adresser som slutar på .mil har en särskild status i IT-säkerhetskretsar.<br />
Eftersom bokstavskombinationen är reserverad för den amerikanska<br />
militärmakten signalerar den att servrarna används för att<br />
skicka topphemlig information. Den som utforskar vilka servrar som<br />
går att knäcka skapar sig lätt föreställningar om slutna bunkrar där<br />
generaler tar beslut om bombräder som kablas ut som order från en<br />
.mil-server till en annan.<br />
Långt in i den ena textfilen fanns en serveradress som slutade på<br />
hq.af.mil nedtecknad, tillsammans med vad som ser ut som ett lösenord.<br />
HQ signalerade att servern hörde till högkvarteret, med andra<br />
ord Pentagon. AF står för US Air Force, det amerikanska flygvapnet.<br />
Flygvapnet ansvarar givetvis för USA:s stridsflyg, men mindre känt är<br />
att det också ansvarar för landets försvar mot cyberkrigföring. Flygvapnets<br />
officiella uppdrag är att »flyga, strida och vinna ... i luften,<br />
rymden och cyberspace«. 21 Om lösenordet var korrekt skulle det vara<br />
allt som behövdes för att logga in på Pentagon, läsa filer och kanske<br />
radera försvarets information. 22 Till och med datorer hos den amerikanska<br />
försvarsministerns stab tycktes ha drabbats. I textmassan<br />
fanns lösenord till tre datorer vars internetadress slutade på osd.mil,<br />
där osd står för Office of the Secretary of Defence. Lösenordsfilen<br />
från åtminstone en av deras datorer låg på datorn, klar för lösenordsknäckarprogrammet<br />
att sätta tänderna i.<br />
Ett annat lösenord, som även det ser ut att ha snappats upp med<br />
hjälp av spionprogrammet, pekade mot en server hos den amerikanska<br />
arméns centralkommando för informationsteknik, USAISEC.<br />
47
svenska ha c k a r e<br />
Användarnamnet är root, vilket tyder på att det stulna lösenordet<br />
skulle ge fullständig makt över åtminstone en del av den militära<br />
IT-centralens nätverk. 23 Där fanns till och med lösenord till CERN i<br />
Schweiz, det forskningsinstitut som kanske är mest känt för sin partikelaccelerator,<br />
även känd som »Big bang-maskinen«. Långt senare,<br />
i september 2008, tog <strong>hackare</strong> kontroll över anläggningens webbserver,<br />
saboterade hemsidan och kallade CERN:s IT-tekniker för »skolbarn«.<br />
24 Händelsen slogs upp stort i media. Många frågade sig om<br />
det gick att lita på tekniker som inte ens hade koll på sin IT-säkerhet.<br />
Vad de inte visste var att lösenorden fyra år tidigare sparats ner på<br />
datorn i Uppsala.<br />
Strax därefter finns rad efter rad med lösenord till Fermilab, USA:s<br />
motsvarighet till CERN. Även det ryska institutet för hög energifysik<br />
såg ut att vara knäckt. Om Leif Nixon i Linköping hade varit på plats<br />
så hade han höjt på ögonbrynen åt rad 8 353. Där fanns lösenordet till<br />
ett för honom kusligt bekant användarnamn: x_marty.<br />
Och så Cisco. Den stulna koden innebar att brottet utvidgades<br />
till ännu en arena vid sidan av universiteten och myndighetsvärlden,<br />
till ett multinationellt storföretag. På datorn hittades förutom<br />
lösenordsfiler spår efter just den hemliga källkod som läckt knappt<br />
ett år tidigare.<br />
Till största delen innehöll de digitala anteckningarna bara lösryckta<br />
lösenord och adresser till servrar. Men här och där hade författaren<br />
lämnat små påminnelser till sig själv. På rad rad 7 115 stod det »LEK<br />
MER MED VT«, skrivet på svenska med stora bokstäver tillsammans<br />
med inloggningsuppgifter till Virginia Tech-universitetet i USA. I<br />
virrvarret av anteckningar fanns också två webbadresser till artiklar<br />
publicerade i Washington Post och den brittiska tekniktidningen The<br />
Register. Båda hade skrivits när de första intrången mot superdatorer<br />
i USA blev kända i april 2004.<br />
Detta är bara ett urval av de knäckta system som figurerar i röran.<br />
Listan kan göras betydligt längre. Textfilerna på Philip Petterssons dator<br />
utgör än i dag en av de absolut största samlingarna av topphemliga<br />
inloggningsuppgifter som någonsin hittats hos en misstänkt <strong>hackare</strong>.<br />
48
h i s t o r i e n om st a k k a t o<br />
Delar av filerna innehöll primitiva teckningar med vad som ser ut<br />
som en logotyp för en uppdiktad hackargrupp.<br />
HACKERS AGAINST NUCLEAR KILLERS<br />
You talk of times of peace for all, and then prepare for war.<br />
Logotyperna är omarbetade varianter av logotypen för WANK –<br />
Worms Against Nuclear Killers, en mycket tidigt form av datormask<br />
som spred sig över nätverk och infekterade den tidens datorer. Den<br />
upptäcktes första gången 1989 och tros vara den första formen av<br />
skadlig kod som skapats i ett uttalat politiskt syfte. 25<br />
Var logotyperna avsedda att placeras ut på någon av de hackade<br />
militära datorerna? Funderade Stakkato, <strong>hackare</strong>n som bara tycktes<br />
hungra efter fler lösenord och nya servrar, på att bli politisk? Något<br />
svar på den frågan finns inte. Inga kända spår efter meddelandet har<br />
hittats på de angripna servrarna. Kanske var allt inte bara en lek, kanske<br />
slog polisen till i tid, innan en sådan kampanj kunde dra igång.<br />
Frågan om en större plan går inte att undvika. Väntade <strong>hackare</strong>n<br />
på rätt tidpunkt för att dra igång en mer omfattande operation? Tanken<br />
svindlar. Om Philip Pettersson, eller någon av hans edsvurna, vid<br />
en och samma tidpunkt skulle skicka ut virus eller annan skadlig kod<br />
till alla de knäckta servrarna skulle konsekvenserna bli enorma för<br />
den amerikanska militären, forskningsanläggningar, teleoperatörer<br />
och storföretag. Oerhörda mängder data skulle kunna raderas, kommunikationssystem<br />
slås ut. En sådan attack skulle ge svallvågor över<br />
hela världen och förmodligen gå till historien som internets motsvarighet<br />
till 11 september.<br />
Redan tidigt i utredningen, när omfattningen av Stakkatos nät av<br />
hackade system stod klar för de tekniker som spårade intrången, växte<br />
en teori fram. Vad skulle hända, frågade de sig, om alla de gigantiska<br />
superdatorerna på ett givet kommando skulle starta en överbelastningsattack<br />
mot nätets mest centrala delar? Det är fullt möjligt att<br />
kapaciteten i en sådan attack hade räckt för att åtminstone tillfälligt<br />
slå ut de så kallade rootservrarna, som utgör grunden för systemet av<br />
49
svenska ha c k a r e<br />
adresser på internet. Hade en sådan plan omsatts i verkligheten så<br />
hade internet slutat fungera. Inte en enskild sajt, inte ett nätverk av<br />
servrar eller ens ett lands anslutning, utan hela internet.<br />
Poliserna finkammade femrumslägenheten på allt som kunde användas<br />
för kommunikation på internet eller för att lagra information.<br />
Samtliga nio datorer lastades in i polisbilen. Från skrivbordet<br />
vid fönstret i Philip Petterssons rum togs den bärbara datorn, hans<br />
mobiltelefon och den externa hårddisken. Där låg även en CD-skiva<br />
märkt SUN OS 5.10 X86, ett avancerat operativsystem som ofta<br />
används för att driva riktigt stora servrar. Det är även känt under<br />
namnet Solaris, samma system som användes på flera av de knäckta<br />
servrarna på superdatorcentret i San Diego.<br />
Men polisen nöjde sig inte med datorer och hårddiskar. Bland de<br />
85 beslagtagna objekten fanns även en skiva med Celine Dion (Philips<br />
mammas, betonar han i dag), brända CD-skivor med filmer, familjens<br />
Mac-dator i vardagsrummet och en iPod. Varje beslag lades<br />
i kuvert och märktes noggrant upp. Långt ifrån allt tillhörde Philip<br />
Pettersson, men polisen plockade med sig allt som kunde användas<br />
för att spara ned stulna filer från de system som intrången riktats<br />
mot.<br />
Polishuset, Uppsala, mars 2005<br />
08:23. Bilresan till polisstationen hade tagit åtta minuter. Sammanbiten<br />
klev 16-åringen ur bilen och fördes in genom porten. Han möttes<br />
av Leif Eriksson. Good cop. Philip Pettersson noterade direkt att<br />
den hårda jargongen inte var förhörsledarens stil.<br />
– Vi ska prata lite. Men först ska du få lite frukost.<br />
Hackaren med de hastigt påkastade kläderna leddes bort till kafeterian.<br />
Polismannen köpte en cola och en macka. Medan Philip<br />
Pettersson tuggade i sig den malde tankarna. Förhör. Misstänkt för<br />
dataintrång, många dataintrång. Han hade lämnat lägenheten full<br />
med datorer, påslagna och inloggade. Poliserna skulle utan problem<br />
komma åt stora delar av den information han hade.<br />
50
h i s t o r i e n om st a k k a t o<br />
09:45. Socialen hade kanske inte förstått riktigt vad det hela handlade<br />
om när polisen ringde. Men en minderårig var misstänkt för ett<br />
brott och en socialsekreterare hade kommit. Förhöret kunde börja.<br />
Philip Pettersson togs in i en ny del av byggnaden och slogs av hur<br />
det mest liknade ett konferensrum. Hela tiden den där forcerat trevliga<br />
inställningen. »Vi ska prata lite«. Philip Pettersson svarade på var<br />
han bodde (som de ju visste), var han gick i skolan (IT-gymnasiet,<br />
som de ju också visste), om hur länge han hade hållit på med datorer<br />
(länge, som de borde ha kunnat gissa sig till).<br />
– Sitter du ofta vid datorn sent på nätterna? undrade Leif Eriksson.<br />
Vad skulle han svara? Hela hans liv hade handlat om just det. »Det<br />
har hänt att han inte sovit en del nätter på grund av att han arbetat<br />
med datorn«, skulle polismannen senare skriva när han sammanfattade<br />
förhöret. Men det var den korta versionen Philip Pettersson berättade<br />
för polisen.<br />
I själva verket var han bara i sexårsåldern när hans pappa kom<br />
bärandes på familjens första dator, en tidig modell från Apple. Pappan<br />
gjorde klart att det inte var någon leksak han hade köpt, satte<br />
sig framför den svartvita skärmen och försökte komma igång med ett<br />
bokföringsprogram. Snart gav han upp. Hur han än lirkade så blev<br />
det ingen ekonomisk redovisning i prydliga kolumner. Philip Pettersson<br />
och hans två bröder fick ta över datorn och de började utforska<br />
den märkliga maskinen. Hela dagar kunde de sitta, testa sig fram och<br />
spela de få och enkla spel som fanns. Någonting i elektroniken under<br />
datorns beigefärgade hölje drog i Philip Pettersson, fick honom att<br />
sitta kvar. Ingen lärare fanns i närheten, inga böcker berättade hur<br />
han skulle göra. Det var bara ett barn och en maskin, komplicerad<br />
men alltid perfekt logisk för den som förstod.<br />
Fem år senare. Philip Pettersson var nu 11 år och den första Appledatorn<br />
hade ersatts av en nyare. Nu kunde skärmen visa färger och<br />
det nyfiket knappande barnet hade blivit en elvaåring med större<br />
kunskaper om datorer än de flesta vuxna. Natt efter natt kunde han<br />
bli sittande med händerna på tangentbordet, men just den här kvällen<br />
skulle han se på teve. De visade en dokumentär om Def Con,<br />
51
svenska ha c k a r e<br />
världens största hackarkonferens som varje år arrangeras i Las Vegas.<br />
Över 2 500 personer – <strong>hackare</strong> och säkerhetsproffs uppblandade med<br />
diskret klädda FBI-agenter på jakt efter den senaste utvecklingen –<br />
var samlade för att höra föreläsningar om allt från datorvirus till låsdyrkar<br />
och elektromagnetiska vapen.<br />
Konferensens höjdpunkt är den så kallade capture the flag-tävlingen,<br />
där lag av <strong>hackare</strong> samlas i en sal, radar upp sina datorer bland<br />
cola-burkar och nätverkskablar för att sedan formligen överösa varandras<br />
servrar med attacker, allt för att knäcka motståndarens skydd.<br />
Tävlingen är ett slags hackandets proffsboxning, både show och sport<br />
på samma gång. För Philip Pettersson var det som att en ny värld<br />
öppnade sig när han såg hur ett av lagen, Ghetto Hackers, började få<br />
överhanden, tog sig förbi skydd efter skydd och till slut hade säkrat<br />
segern genom att hämta den virtuella flaggan i form av information<br />
på motståndarservern. När reportern intervjuade vinnarlaget kunde<br />
Philip Pettersson bara tänka på en sak: han ville bli som dem, kunna<br />
utnyttja svagheter i system och lära sig att överlista datorer i stället för<br />
att bara använda dem. Han ville bli en <strong>hackare</strong>.<br />
Direkt efter programmet satte sig Philip Pettersson och började<br />
söka på nätet efter kontaktuppgifter. Han hittade en adress till segrarna<br />
och skickade ett mejl. »How can I become a hacker?«<br />
Kanske blev den framstående amerikanska <strong>hackare</strong>n förvånad av<br />
att få kontakt med en svensk 11-åring, men han tog sig ändå tid att<br />
svara med två råd: Läs boken Hacking Exposed och lär dig programmera.<br />
Philip Pettersson lydde, köpte en tegelstenstjock instruktionsbok<br />
om programmeringsspråket C och började läsa.<br />
Ett av de första programmen han fick att fungera användes för<br />
att skapa karaktärer i ett slags rollspel, en annars tidskrävande syssla<br />
med papper, penna och tärningar. Tack vare programmeringen gick<br />
det nu blixtsnabbt och rollspelsvännerna såg imponerat på hur hans<br />
skapelse spottade ur sig nya karaktärer. Efter den dagen skulle Philip<br />
Pettersson aldrig släppa programmeringen. Han hade aldrig kunnat<br />
rita. Sport intresserade honom inte. Med bara en dator och sin<br />
egen intelligens kunde han nu skapa något helt eget, se program som<br />
52
h i s t o r i e n om st a k k a t o<br />
verkligen kunde utföra sysslor växa fram på skärmen. Varje gång han<br />
skrev ny kod och programmet gjorde precis det han ville så kom<br />
känslan, ett närmast euforiskt rus.<br />
Ändå var det som hackarna på teve han ville bli, inte vilken programmerare<br />
som helst. Redan i högstadiet hade han nått en nivå där<br />
han kunde skriva program som tog sig långt in i ett systems kärna<br />
och lurade det att göra som han ville. Så länge han körde ett sådant<br />
program på sin egen dator var det en oskyldig lek, ett pussel för en<br />
intelligent tonårings hjärna som skrek efter utmaningar utanför skolans<br />
tristess. Placerade på en främmande dator var de verktyg för grov<br />
brottslighet.<br />
Visst »lekte han runt lite«, men att göra någonting brottsligt var<br />
aldrig målet, säger han i dag. Allt kretsade kring att skapa, göra det<br />
omöjliga och klara av sånt som mjukvaruföretag lagt miljoner dollar<br />
på att förhindra.<br />
Det mesta av sin historia teg Philip Pettersson om när han satt ansikte<br />
mot ansikte med förhörsledaren. Leif Eriksson började fråga om<br />
hans datorer. Bit för bit beskrev Philip Pettersson sitt hemmanätverk.<br />
Servern i garderoben kallades Tako. Ja, den körde operativsystemet<br />
Linux. Den används för skolarbeten och för att kommunicera med<br />
andra i skolan. Lånedatorn? Klone hette den. Också Linux.<br />
Han kände hur frustrationen steg i takt med att Leif Eriksson började<br />
ställa frågor om avancerad teknik. Vad förstod han? Ska jag sitta<br />
här och berätta om distribuerade filsystem för någon som inte kan<br />
någonting om datorer? Vad tjänar det till? Ändå kom svaren, ett efter<br />
ett.<br />
Rebel, svarade Philip Pettersson när han fick frågan om sitt alias.<br />
Stakkato? »Han vet inte vem det är men känner till nicket«, antecknade<br />
Leif Eriksson.<br />
Sedan var den lätta uppvärmningen över. Den 17 maj hade någon<br />
hackat sig in i Uppsala universitets servrar. Hur gick det till? Philip<br />
Pettersson drog efter andan och började lägga fram sin berättelse.<br />
Två personer hade gjort det tillsammans. De var båda äldre <strong>hackare</strong>,<br />
den ena från Rumänien (»Nebunu») och en annan från Thailand.<br />
53
svenska ha c k a r e<br />
Vad thailändaren hette visste han inte. Men det var han som hade<br />
byggt ett spionprogram som man kunde smyga in på en server och<br />
få tag på alla lösenord. I detta första förhör medgav Philip Pettersson<br />
att han hade tittat in på universitets server och blivit superanvändare<br />
(»root«). Förhörsledaren artikulerade adressen som alla lösenorden<br />
skickades till. »Sucky Sucky Five Dollah punkt ATH punkt CX«. Jo,<br />
Philip Pettersson kände till den, hade nog sett den någon gång. Det<br />
var thailändarens server det också. Det var han som kontrollerade<br />
den. I senare förhör har Philip Pettersson uppgett att Stakkato och<br />
thailändaren är samma person.<br />
Kanske var förhöret en långt större framgång för polisen än Leif<br />
Eriksson hade vågat hoppas. Philip Pettersson förnekade brott,<br />
beskrev sig som utnyttjad av någon som använde sig av hans dator<br />
för att ta sig vidare ut till de knäckta servrarna. Hela tiden var<br />
det därför hans spår dök upp i loggfilerna. Ändå var en första seger<br />
vunnen. De hade inget erkännande, men gott om beslagtagen<br />
datorutrustning som skulle finkammas på jakt efter bevismaterial.<br />
Kanske skulle det åtminstone ta slut nu. Dessutom beskrev<br />
Philip Pettersson faktiskt hur han varit med på ett hörn.<br />
Leif Eriksson avslutade förhöret med att ringa kammaråklagare<br />
Chatrine Rudström och fråga om pojken skulle häktas. Svaret blev<br />
nej. »Han säger att han känner sig utnyttjad av äldre i hackervärlden.<br />
Förhöret slut kl 11:50«, avslutas förhörsprotokollet.<br />
Philip Pettersson fördes ut till en väntande bil och kördes de åtta<br />
minuterna hem. I trapphuset mötte han Tony Möörk som höll på<br />
att bära ner det sista av bevismaterialet från lägenheten. Utan att<br />
säga mycket tog Philip Pettersson emot nycklarna till ytterdörren och<br />
gick in. En tom lägenhet mötte honom. Hans bärbara dator, servern<br />
i garderoben, den stationära i hans lillebrors rum, Philip Petterssons<br />
mobiltelefon, handdatorn, CD-skivor – de hade till och med tagit<br />
en färgglad iMac i vardagsrummet som han hade fått när han fortfarande<br />
gick i mellanstadiet. Sakta gick han från rum till rum. Utan<br />
datorerna var lägenheten inte sig lik. Den kändes tom, öde. Det var<br />
då det började gå upp för honom. Polismannen i bilen hade haft rätt.<br />
54
h i s t o r i e n om st a k k a t o<br />
Den här dagen skulle han aldrig glömma. Hans liv hade förändrats<br />
för alltid innan han ens hade tagit studenten.<br />
På IT-gymnasiet i Uppsala hade klasskamraterna nyss kommit tillbaka<br />
från lunchrasten. En stol stod fortfarande tom och ingen i klassen<br />
visste ännu varför Philip Pettersson inte hade kommit den där<br />
morgonen. Han lämnade lägenheten och låste dörren efter sig, ville<br />
inte vara kvar på platsen som påminde honom om vad som just hade<br />
hänt. Den natten sov han hos en släkting.<br />
New York, maj 2005<br />
I förhöret hade de flesta frågor handlat om dataintrånget mot Uppsala<br />
universitet. Först mot slutet hade Leif Eriksson tagit upp Cisco,<br />
det stora nätverksföretaget vars kod blivit stulen. Därför gick det inte<br />
upp för Philip Pettersson hur omfattande utredningen i USA hade<br />
varit. Den amerikanska utredningen förblev hemlig till den 10 maj<br />
2005, två månader efter tillslaget i Uppsala, då USA vaknade upp till<br />
en udda toppnyhet på New York Times förstasida.<br />
INTERNET ATTACK IS CALLED BROAD AND LONG LASTING<br />
Focus falls on Sweden<br />
Nyheten om att 100 motståndsmän hade dödats i västra Irak fick<br />
stå till baka för uppgifterna om hackarhärvan. I artikeln beskrivs hur<br />
FBI-agenter i mer än ett år försökt spåra <strong>hackare</strong>n som aldrig tycktes<br />
ge upp och hur spåren till slut lett till Sverige. I närmast beundrande<br />
ordalag uttalade sig anonyma säker hetsexperter om hur smart Stakkato<br />
hade byggt sitt automatiska system för att stjäla lösenord och ta<br />
över fler anläggningar. Detta var också första gången som den verkliga<br />
omfattningen av intrången blev känd. FBI-utredare talade nu om<br />
tusentals datorer i upp till sju länder. Spridda rapporter det senaste<br />
året hade avslöjat intrång mot Cisco och superdatorer, men här visades<br />
hela pusslet upp för första gången. Allt hörde ihop, och väven var<br />
mer komplicerad än allmänheten tidigare hade känt till.<br />
55
svenska ha c k a r e<br />
Förutom de redan kända intrången avslöjades nu att en <strong>hackare</strong><br />
tagit sig in i datorer tillhörande White Sands Missile Range, USA:s<br />
största militära anläggning belägen i delstaten New Mexico. Det var<br />
här mänskligheten tog sitt första steg in i den nukleära tidsåldern när<br />
världens första atombombstest genomfördes den 16 juli 1945. Sedan<br />
dess har White Sands Missile Range fungerat som en skjutbana för<br />
några av USA:s mest fruktade vapen. Vad som finns på anläggningens<br />
datorer är topphemligt, men det är ingen vågad gissning att där<br />
finns beskrivningar av både nu existerande och framtida amerikanska<br />
vapensystem.<br />
Men den kanske allvarligaste uppgiften lyckades The New York<br />
Times aldrig bekräfta. En kemist vid University of California vars<br />
dator <strong>hackare</strong>n tagit över hade tidigt i intrångsserien fått meddelanden<br />
från en konstig användare med signaturen Stakkato. Breven var<br />
hånfullt skrivna och fullproppade dramatiska påståenden om vilka<br />
servrar <strong>hackare</strong>n hade tagit sig in i. »Patuxent River stängde helt ner<br />
sina nätverk«, skrev han. »De blev skiträdda när jag berättade att jag<br />
hade stulit ritningar till F-18.«<br />
Påståendet var sensationellt. Patuxent River är ett av det amerikanska<br />
flygvapnets högkvarter och ansvarar för att hålla den amerikanska<br />
marinens stridsflygplan i toppskick. 26 Nu påstods att ritningarna till<br />
F-18, landets primära stridsflygplan som kostar upp till 57 miljoner<br />
dollar styck att tillverka, hade läckt till en oidentifierad <strong>hackare</strong>. 27<br />
När The New York Times ställde frågor om intrånget mot Patuxent<br />
River gav James Darcy, talesperson för den amerikanska flottan,<br />
ett svävande svar. Han förnekade inte att någon varit inne i servrarna.<br />
Men om något allvarligt hade hänt? Nej. Han antydde att <strong>hackare</strong>ns<br />
påstående mest var tomt skryt.<br />
Men när vi i arbetet med denna bok granskat det omfattande utredningsmaterialet<br />
så faller pusselbitarna på plats. Vad The New York<br />
Times reportrar sannolikt inte kände till, och kanske inte heller cheferna<br />
vid flygvapnets högkvarter vid Patuxent River, var innehållet i<br />
den enorma textfil som hittats i Philip Petterssons dator i Uppsala.<br />
Där fanns ingen information om några amerikanska flygplan, men<br />
56
h i s t o r i e n om st a k k a t o<br />
däremot åtta rader i en textfil med ett spektakulärt innehåll. Där<br />
stod den internetadress som Patuxent River Naval Air Systems Command<br />
använde. Där stod root, alltså superanvändare, som inloggningsnamn.<br />
Och ett lösenord. Med andra ord just den information<br />
en <strong>hackare</strong> skulle ha på sin dator om han verkligen hade tagit sig in i<br />
dessa militära datorer. 28<br />
Sedan dess har det varit tyst. Ingen har gripits eller åtalats för intrång<br />
mot Patuxent River. Att ett lösenord, som ser ut att kunna ge tillgång<br />
till det amerikanska marinflygets topphemliga datorsystem fanns i ett<br />
pojkrum i Sverige har aldrig tidigare rapporterats offentligt.<br />
Artikeln i The New York Times ger också en mindre smickrande<br />
bild än den klassiska av den – eller de – <strong>hackare</strong> som låg bakom serien<br />
av digitala inbrott. I den konventionella uppfattningen om en<br />
skicklig <strong>hackare</strong> ingår att han eller hon inte är ute efter att förstöra de<br />
besegrade systemen. Men kemisten i Kalifornien uppges här ha fått<br />
hela sin mejllåda, med över ett års korrespondens, raderad. Troligtvis<br />
var det en hämnd för att hon nedlåtande beskrivit honom som ett<br />
pittoreskt inslag inför sina kollegor, kommunikation som Stakkato<br />
tros ha kunnat läsa.<br />
Liknande uppgifter har flera gånger framkommit i arbetet med<br />
denna bok. Källor med mycket god insyn i utredningarna vittnar<br />
om vissa fall av raderade mejlkonton och försök till sabotage av hemsidor.<br />
Vid ett tillfälle ska en hel server vid ett amerikanskt universitet<br />
ha tömts på innehåll. Sådana händelser tycks undantagslöst ha<br />
före gåtts av en provokation, som att <strong>hackare</strong>n kastats ut eller internt<br />
beskrivits som en liten unge. Ren förstörelse är relativt ovanligt vid<br />
dataintrång. Det är inte bara en fråga om <strong>hackare</strong>tik. En förstörd<br />
server är obrukbar även för <strong>hackare</strong>n själv. Tömd på innehåll är den<br />
tekniskt död och därmed ointressant.<br />
Nyheten om dataintrången slog ner som en bomb. Kopplingarna<br />
till NASA, militära datorsystem och Cisco fick amerikanska medier<br />
att gå i spinn. Redan på förmiddagen stod CNN:s glasögonprydde<br />
teknikkorrespondent Daniel Sieberg i direktsändning och svarade på<br />
programledarens frågor om 16-åringen i Sverige. Snart vaknade även<br />
57
svenska ha c k a r e<br />
svenska medier. Pliktskyldigt återgavs uppgifterna från den amerikanska<br />
tidningen, men ingen ny information framkom. Vem var<br />
tonåringen? Ännu hade ingen publicerat hans namn.<br />
Uppsala, maj 2005<br />
Philip Petterssons närmaste vänner kände redan till razzian när händelsen<br />
plötsligt en dag blev en världsnyhet. Han hade fortsatt gå till<br />
skolan, till en början utan en egen dator eftersom den stod inlåst i<br />
polishusets avdelning för bevismaterial. För de pengar han kunde<br />
spara från studiebidraget köpte han den bästa han hade råd med. Det<br />
blev en hopplöst föråldrad laptop, långsam och med skralt minne,<br />
men den fungerade. Nu hade han visserligen en dator, men någonting<br />
hade förändrats. Intresset var som bortblåst och han kunde bli<br />
sittande i långa stunder framför skärmen utan att få någonting gjort.<br />
Känslan av att vara ett med maskinen, att kunna skapa vad som helst<br />
med bara tangenter, minne och sin egen tankeförmåga var som försvunnen.<br />
För första gången sedan han var sex år gammal kände han<br />
ingen passion för programmering. Gnistan hade slocknat.<br />
Samtidigt fortsatte utredningen. Nya förhör hölls. En fredagsförmiddag,<br />
en knapp månad efter razzian, klev Leif Eriksson in på<br />
gymnasieskolan, tog Philip Pettersson åt sidan och ställde uppföljningsfrågor<br />
i tio minuter. Den gången var polismannen ute efter ett<br />
lösenord till en krypterad del av Philip Petterssons server. Koden, 30<br />
tecken lång och därmed värdig en säkerhetsklassad militär anläggning,<br />
uppgav han sig ha glömt bort. Leif Eriksson fick lämna skolan<br />
utan upplysningar.<br />
I juni 2006, mer än ett år efter razzian, hade utredarna hunnit gå<br />
igenom varenda fil de hittat på de beslagtagna datorerna, servrarna<br />
och CD-skivorna. Philip Pettersson kallades till det riktigt tunga förhöret.<br />
Vid sin sida hade han en försvarare från kändisadvokaten Leif<br />
Silberskys byrå.<br />
14 fall av dataintrång lades på bordet. Anklagelserna var mycket<br />
specifika. Klockan 13:47 den 17 maj 2004 uppgavs han ha loggat in<br />
58
h i s t o r i e n om st a k k a t o<br />
på en dator ägd av Matematiska institutionen på Uppsala universitet.<br />
Datorns namn var Brummelisa. (Ett udda namn kan tyckas, men i<br />
utredningen figurerar servernamn som »Spetsknypplerskor«, »Grillolja«<br />
samt på Umeå universitet »Lenin«, »Mao« och »Stalin«. Tekniker<br />
på KTH hade valt de mer vardagliga »Prisextra« och »Konsum«<br />
för sina maskiner.) Användarnamnet som användes vid intrånget var<br />
Johanna.<br />
Enligt förhörsprotokollet medgav Philip Pettersson först att han<br />
varit delaktig i intrången. Lösenorden sa han sig visserligen inte ha<br />
hackat själv. I stället var det någon annan, under förhöret bara kallad<br />
»han« som ska ha fixat fram dem. Senare betonade den misstänkte att<br />
han bara hade skapat programmet som stal lösenorden och följt med<br />
in på de spärrade datorerna för att se till att det fungerade. Inte med<br />
ett ord beskrev han vem eller hur många han arbetat med.<br />
Leif Eriksson, som ledde förhöret, lade fram ett papper på bordet.<br />
Det föreställde en utskrift av det polismännen vid razzian såg i den<br />
krypterade delen av hans hårddisk när de för första gången satte sig<br />
vid datorn. Philip Pettersson betraktade pappret en kort stund och<br />
bekräftade vad det föreställde.<br />
– Ni måste ha haft mycket kul när ni gick igenom detta, anmärkte<br />
han syrligt och tillade att många av de som dagligen loggade in på<br />
hans hemmanätverk hade tillgång till denna del av hårddisken.<br />
Klockan närmade sig tolv och förhöret hade hållit på sedan niotiden<br />
på morgonen. Leif Eriksson ställde en avslutande fråga, kanske<br />
av nyfikenhet, kanske för att det skulle hjälpa honom med utredningen.<br />
– Vad var syftet med alltihop?<br />
– Kul, blev svaret, kul att utforska och få uppleva saker när man<br />
är nyfiken. 29<br />
Ett och ett halvt år efter att The New York Times gjort honom till<br />
anonym världskändis öppnade Philip Pettersson glasporten till Uppsala<br />
tingsrätt, gick in i rättssalen och satte sig ner bredvid sin advokat.<br />
Det var januari 2007 och Philip Pettersson hade fyllt 18 år. Polisen<br />
och åklagaren hade tagit gott om tid på sig för att gå igenom hans<br />
59
svenska ha c k a r e<br />
datorer och sammanställa ett åtal. Mycket i Philip Petterssons liv<br />
hade hunnit hända. Gymnasiet var snart slut och hans klasskompisar<br />
skulle gå vidare till högre utbildningar, jobb eller resor. Ett halvår efter<br />
razzian hade förhållandet med flickvännen – hon som hade kallats<br />
in som vittne av Uppsalapolisen – tagit slut. Vad hon hade sagt hade<br />
han redan sett i protokollet. Hennes uppgifter skulle inte figurera alls<br />
i rättegången, men det skavde extra mycket att veta att just hon av<br />
alla människor hade suttit där ansikte mot ansikte med förundersökningsledaren<br />
och pratat om honom. »Virrigt«, var ordet Philip Pettersson<br />
senare skulle använda för att beskriva det hon hade sagt.<br />
Utredningsmaterialet var stort, närmare 1 000 sidor, men kammaråklagare<br />
Chatrin Rudströms upplägg var enkelt. För det första<br />
utelämnades alla intrång i USA och andra länder. I stället gällde<br />
åtalet intrång mot universiteten i Uppsala, Stockholm, Umeå och<br />
Linköping samt Karolinska institutet, KTH och Nationellt Superdatorcentrum.<br />
Strategin var att ta detaljer ur universitetens loggar om<br />
vilka stulna konton som använts och att para ihop dem med lösenord<br />
i den gigantiska textfil som hittats i Philip Petterssons dator.<br />
För första gången stod nu den misstänkte stor<strong>hackare</strong>n, tonåringen<br />
som snart skulle gå ut gymnasiet, ansikte mot ansikte med de<br />
tekniker vars system han påstods ha tagit sig in i. På plats fanns Leif<br />
Nixon från NSC i Linköping och Christian Nygaard, den tekniker<br />
vid Uppsala universitet som upptäckt ordet »knark« i koden. Även<br />
polismannen Tony Möörk var där för att vittna.<br />
Philip Pettersson upprepade sin version av förloppet. Hans dator<br />
kanske hade använts, och visst hade han skrivit några av programmen.<br />
Men det var andra <strong>hackare</strong>, äldre personer från länder långt<br />
borta, som hade begått själva brotten via hans dator. Det var därför<br />
filen fanns där. Det var så det hade gått till när tusentals stulna lösenord<br />
hade placerats på hans hårddisk. Ja, han ingick i en grupp<br />
av <strong>hackare</strong>. Thailändaren Stakkato och rumänen Nebunu beskrevs<br />
återigen som hjärnorna bakom det hela.<br />
Åklagarsidan hade förberett för en riktig show. Förutom lösenord<br />
hade inspelade sekvenser från dataintrång hittats på Philip Pettersons<br />
60
h i s t o r i e n om st a k k a t o<br />
dator. De låg sparade i en katalog med namnet »funny sessions« och<br />
visade hur en främmande dator angreps, hur personen vid tangentbordet<br />
använde knep och trick för att knäcka säkerhetsskydd och få makt<br />
över det angripna systemet. Filmen visades upp för rätten. Planen var<br />
att låta de närvarande förundras över den unge <strong>hackare</strong>ns kunskaper.<br />
I efterhand talar flera närvarande om hur lugnt Philip Pettersson talade,<br />
hur klart han uttryckte sin historia. Själv minns han rättegången<br />
som en lång frustration över att inte kunna göra sig förstådd. Målet<br />
var någonting helt annat än vanliga helgslagsmål och bilstölder som<br />
tingsrätten ofta hanterade. Tidvis gick diskussionerna in på frågor<br />
som skulle vara helt främmande även för de flesta datorkunniga, och<br />
där satt en rad nämndemän helt utan specialutbildning med uppdraget<br />
att fatta beslut som skulle avgöra en ung människas framtid.<br />
Några av frågorna de ställdes inför var dessa: Om en mycket avancerad<br />
användare startar ett visst program i operativsystemet Linux,<br />
som ingen av dem troligtvis ens hade sett, gör han det då för att själv<br />
skriva in någonting i en fil, eller bara för att läsa den? Har en kriminell<br />
thailändare någonting att vinna på att låta sin internettrafik gå via en<br />
persondator i Uppland?<br />
Två veckor senare frikände tingsrätten Philip Pettersson på samtliga<br />
åtalspunkter. Ingen betvivlade att hans dator varit navet i en<br />
utdragen serie av avancerade intrång. Men vem hade utfört handlingen?<br />
Tingsrättens bedömning var klar. Någon annan, kanske den<br />
vid det här laget beryktade thailändaren, kunde ha gjort det via hans<br />
uppkoppling.<br />
Domen är en parodi på IT-kunskap. Tingsrätten famlar sig fram<br />
genom tekniska begrepp, kommer med absurda påståenden som att<br />
lägenheten i Uppsala skulle ha »det snabbaste bredbandet i hela världen«<br />
och tycks inte förstå skillnaden mellan ord som kod och program.<br />
Adressen till servern som samlade in lösenorden skrivs ut på<br />
flera olika sätt i domen, samtliga felaktiga. Dessutom är tingsrättens<br />
slutsats en enda stor självmotsägelse. Att Philip Pettersson var den<br />
skyldige kunde inte styrkas. Ändå skulle den uppsjö av datorer som<br />
beslagtagits från hans pojkrum inte lämnas tillbaka.<br />
61
svenska ha c k a r e<br />
– Man kunde nästan läsa ett budskap mellan raderna, säger en<br />
poliskälla som arbetade med utredningen till oss.<br />
– De ville säga: »Vi förstår inte det här. Överklaga.«<br />
Det kunde ha tagit slut där. Philip Pettersson skulle ha gått ut<br />
gymnasiet, sökt till universitetet och med åren skulle minnet av poliser<br />
som genomsöker hans hem och timslånga utfrågningar om dataintrång<br />
ha bleknat. Men domen överklagades och i Svea hovrätts<br />
pompösa lokaler på Riddarholmen i Stockholm var det ingen som<br />
trodde på förklaringarna Philip Pettersson lade fram.<br />
Han låg fortfarande och sov hemma i Uppsala när hans telefon pep<br />
till. Yrvaket plockade han upp den. Ett nytt sms: »Jag beklagar.« En<br />
kompis hade sett nyheten om att hovrätten funnit honom skyldig<br />
innan han själv fick höra om domen.<br />
Det strängaste straff en svensk domstol kan ge för dataintrång är<br />
två års fängelse. Hovrätten beslutade att han inte skulle låsas in, men<br />
dömde honom till villkorlig dom, vilket ändå var strängare än vad<br />
åklagaren hade krävt. När åtal väcktes i tingsrätten 2006 hade Chatrine<br />
Rudström visat sig redo att acceptera ungdomstjänst på grund<br />
av <strong>hackare</strong>ns låga ålder. 30 Hovrätten såg ingen anledning att ta så lätt<br />
på brotten.<br />
Den största tyngden som vilade på Philip Pettersson inför rättegången<br />
var ändå skadeståndskraven. Tillsammans krävde universiteten<br />
honom på 392 000 kronor för allt arbete som lagts ner på att<br />
rensa efter intrången, byta ut stulna lösenord och säkra upp hackade<br />
servrar. Nationellt Superdatorcentrum försökte sig också på att räkna<br />
ut vad superdatorn, som centret lagt tiotals miljoner på i inköpskostnad,<br />
kostade att äga under de dagar den stod nedkopplad efter<br />
intrånget.<br />
Hovrätten avfärdade vissa av kraven men slog fast att Philip Pettersson<br />
skulle betala 160 000 kronor, plus ränta, i skadestånd. Tidigt<br />
våren 2010 hade Philip Pettersson fortfarande inte börjat betala. För<br />
varje dag växer skulden i takt med att räntan tickar på.<br />
Finns Nebunu och Stakkato? Är de verkliga människor som Philip<br />
Pettersson hävdar eller fantasifoster som han använde för att skylla<br />
62
h i s t o r i e n om st a k k a t o<br />
ifrån sig? Enligt tingsrätten kan de mycket väl existera och vara de<br />
verkliga hjärnorna bakom attackerna. Hovrätten säger visserligen<br />
inte rakt ut att de är påhittade, men viftar ändå undan förklaringen<br />
med de två mystiska karaktärerna.<br />
En granskning av det omfattande materialet som omger Stakkatoutredningen<br />
visar att åtminstone Nebunu figurerar som en person,<br />
skild från Philip Pettersson eget alter ego i hackarvärlden. En artikel<br />
om avancerade tekniker för att utnyttja säkerhetshål som Philip Pettersson<br />
skrivit och publicerat på nätet avslutas med hälsningar till<br />
flera alias, troligtvis vänner som delar samma intresse eller skickliga<br />
<strong>hackare</strong> som Philip Pettersson såg upp till. En av dem är Nebunu.<br />
Även koden till programmet Kebab, signerat med Philip Petterssons<br />
alias Rebel, innehåller en sådan hälsning. Programmet beskrivs som<br />
en parasit vars enda syfte är att ge en <strong>hackare</strong> möjlighet att fjärrstyra<br />
en knäckt dator.<br />
Här och där i den beslagtagna datorn finns utskrifter från anonyma<br />
chattkanaler med formuleringar som »NEBUNU UND REBEL<br />
OWNZ DICH«, ett hopkok av engelska, tyska och allmän nätslang<br />
som kan översättas till »Nebunu och Rebel äger dig«. Dessutom finns<br />
det än i dag texter om avancerat hackande på nätet, signerade med<br />
namnet Nebunu och en rumänsk mejladress. I minst en av dessa<br />
skickar författaren en hälsning till »Rebel«. Fram till 2002 drev någon<br />
som kallade sig Nebunu en hemsida om hackande med tips om hur<br />
ett lyckat intrång genomförs. Sedan raderades den från nätet och tycks<br />
inte ha återkommit. Mycket tyder på att Nebunu finns på riktigt. 31<br />
Men det är Stakkato som genom hela processen har utmålats som<br />
den verkliga kraften bakom intrången. Namnet figurerar på flera ställen<br />
i textfilerna på Philip Petterssons dator, många gånger i form av<br />
olagligt skapade konton på de angripna universitetsservrarna. Så gott<br />
som varje gång har dessa konton bokstaven q som lösenord. Däremot<br />
saknas referenser till honom i tredje person av den typ som finns<br />
kring Nebunu.<br />
Ord står mot ord. Men klart är att om Philip Petterssons version<br />
av sanningen stämmer så kan två personer ha suttit lutade över sina<br />
63
svenska ha c k a r e<br />
tangentbord någonstans i världen när polisen stormade in i Uppsalalägenheten.<br />
Kanske följde de i detalj vad som hände med den<br />
dator de utnyttjat för att stjäla tusentals konton från några av världens<br />
mest mytomspunna datorsystem. Kanske fick de sedan kalla<br />
fötter, bytte namn eller slutade med sin kriminella verksamhet och<br />
hoppades att Philip Pettersson skulle få skulden för alltihop. Kanske<br />
existerar Stakkato inte, mer än som ännu en sida av en ung svensk<br />
<strong>hackare</strong>s komplexa identitet i nätets undre värld.<br />
Efter hovrättens dom ställde Philip Pettersson upp på korta intervjuer,<br />
men ingen tidning publicerade hans riktiga namn. För läsarna<br />
blev han i stället känd som Uppsala<strong>hackare</strong>n, 19-åringen eller, som i<br />
Aftonbladet, »Super<strong>hackare</strong>n«. 32 Uppgivet pratade han med journalister<br />
om hur lite domstolen förstått av tekniken.<br />
– Det är en total tragedi för vårt rättssamhälle att en domstol kan<br />
döma någon med bevisning som domstolen inte förstår. Den har<br />
bara automatiskt lyssnat på vad åklagaren säger och på några expertvittnen<br />
från Rikskrim med tre veckors datautbildning, sade han.<br />
Med domen registrerad såg han inte längre någon anledning att<br />
hålla tillbaka sitt förakt för hela det rättsväsende som nu fällt honom.<br />
– Åklagaren och hennes kumpaner säger till exempel att det är<br />
väldigt konstigt att man har ett lösenordsknäckningsprogram, att det<br />
är konstigt med säkerhetsprogram som följer med de flesta Linuxdistributioner.<br />
Flera år senare beskriver han hovrätten som ett gäng pensionärer<br />
och minns särskilt en av nämndemännen, en äldre herre med stödkrage.<br />
Genom hela rättegången satt han med huvudet lutat lätt åt<br />
sidan, enligt närvarande med ögonen nätt och jämnt öppna, medan<br />
han lyssnade på vittnesmål och tog del av bevisning på en så hög teknisk<br />
nivå att knappt en ingenjör med examen i datavetenskap skulle<br />
hänga med i alla detaljer.<br />
För Philip Pettersson blev han symbolen för en vuxenvärld som<br />
inte begrep en bråkdel av allt han visste om datorer och nu hade satt<br />
spår i hans liv som aldrig skulle försvinna. De hade inte vuxit upp på<br />
64
h i s t o r i e n om st a k k a t o<br />
nätet. De hade inte som barn upptäckt en helt ny värld, en Narniagarderob<br />
av sammankopplade datorer, kod och servrar, en plats där<br />
logik och intelligens kunde skapa vad som helst och där vilket ställe<br />
som helst på jorden var lika tillgängligt som gården utanför fönstret.<br />
De äldre hade aldrig lärt känna någon utan att veta hur han eller<br />
hon såg ut, bara genom vännens ord, kod och kunskap. Det var hans<br />
värld de försökte döma, tvinga in i sin egen fyrkantiga låda av lagar,<br />
begränsningar och spärrar.<br />
– De har förstört min framtid innan jag ens är vuxen, sa han till en<br />
reporter och lovade att försöka ta hackarhärvan till Högsta domstolen.<br />
Det gjorde han också, men fick avslag. Därmed slogs domen fast<br />
och den riktigt allvarliga processen kunde börja, den del som rörde<br />
intrången i USA. Tusentals maskiner hos NASA, Cisco och militären<br />
– affärshemligheter, militära servrar, superdatorer i världsklass.<br />
Washington DC, november 2007<br />
Medan svenska åklagare och poliser lade pusslet kring universiteten<br />
pågick ett intensivt arbete i USA. Vad som hade börjat som spridda<br />
utredningar av FBI på tre orter – San Diego, Chicago och Springfield<br />
i Illinois – slogs samman när det stod klart att intrången hade utförts<br />
på samma sätt, med samma verktyg och att det sannolikt var samma<br />
person eller grupp som låg bakom. Agenter i det mytomspunna högkvarteret<br />
i J Edgar Hoover-byggnaden i Washington DC tog över och<br />
samordnade utredningen.<br />
Internt på FBI kom fallet att kallas Major Case #216, ett slags beteckning<br />
som ges till utredningar som är så omfattande att de involverar<br />
lokala FBI-kontor runt om i landet. Minst 60 FBI-anställda<br />
agenter och experter inom IT-säkerhet på över 20 lokala kontor beräknas<br />
ha arbetat med att spåra intrången till Uppsalalägenheten. 33<br />
Mark Culp, chef för FBI:s avdelning för cyberbrottslighet i San<br />
Diego, var en av de första att höra talas om Stakkato. Det var till<br />
honom larmet gick när Abe Singer upptäckt en inkräktare på super-<br />
65
svenska ha c k a r e<br />
datorcentret vid University of California och redan i april 2004 fick<br />
han de första signalerna som tydde på en samordnad serie av intrång.<br />
I dag bekräftar han att FBI i början var långt ifrån säkra på att det<br />
var en enskild person som var i farten. En högst levande hypotes var<br />
att en främmande statsmakt lade stora resurser på att ta sig långt in i<br />
amerikansk IT-infrastruktur.<br />
– Det var ett särskilt oroväckande fall innan vi kände till <strong>hackare</strong>ns<br />
motiv, skriver han till oss i ett mejl.<br />
– Tidigt ställde vi oss frågan om detta bara var en unge eller om<br />
någon med mer ondskefullt uppsåt låg bakom. Jag tror vi alla nu har<br />
dragit slutsatsen att det bara var en unge.<br />
När utredningen riktade strålkastaren mot Sverige och FBI-agenterna<br />
började känna sig säkra på att en tonåring låg bakom alltihop<br />
drog många en suck av lättnad. Samtidigt uppstod ett nytt problem.<br />
Att ställa en minderårig, utländsk medborgare inför rätta för brott<br />
som kan ge upp till tio års fängelse är ingen liten sak. Händelserna<br />
i Uppsala tingsrätt och Svea hovrätt följdes därför noga av de mest<br />
initierade agenterna och säkerhetsexperterna som levt med Stakkatointrången<br />
och dess efterdyningar i flera år.<br />
Högsta domstolens nej blev startskottet. Den 6 maj 2009 publicerade<br />
det amerikanska justitiedepartementet ett dokument på sin<br />
hemsida. De amerikanska myndigheterna väcker åtal mot en svensk<br />
man, »även känd som Stakkato«, stod att läsa i dokumentet. Anklagelserna<br />
var grova. Tre fall av dataintrång, två mot NASA och ett mot<br />
Cisco. Dessutom anklagades Philip Pettersson för industrispionage<br />
genom att ha kopierat och spritt Ciscos hemliga kod. Fyra av de fem<br />
brotten ska alla ha begåtts under en vecka i maj 2004, vid samma tid<br />
som Ciscokoden dök upp på den ryska webbplatsen. Det femte, ett<br />
intrång mot datorer på NASA, var daterat den 22 oktober. Då hade<br />
utredare i USA redan fått upp ögonen för ynglingen i Sverige.<br />
Konturerna av en enorm utredning målades upp. Mängder med<br />
brottsbekämpande myndigheter hade deltagit i spaningen, allt från<br />
IT-brottssektionen på FBI till Secret Service, alltså den myndighet<br />
som bland annat ansvarar för presidentens säkerhet.<br />
66
h i s t o r i e n om st a k k a t o<br />
Samarbetet mellan FBI och svensk polis var mer intimt än vad som<br />
tidigare har varit känt. Redan sommaren 2004 upprättades kontakter<br />
och amerikansk polis hölls hela tiden uppdaterad om hur adressen<br />
i Uppsala spårades, hur polisen slagit till den där morgonen i mars<br />
2005 och hur Philip Pettersson tagits in på förhör.<br />
Faktum är att det var ett tips från FBI som ledde den svenska polisen<br />
rätt. 34 Från amerikanskt håll följde man hur koden från Cisco<br />
spreds över nätet. En nedladdning ska ha skett via University of<br />
Colorado, där <strong>hackare</strong>n förpackade filerna på ett behändigt sätt och<br />
sedan förde ut dem ur landet till en server på Karolinska Institutet.<br />
Karolinska Institutets tekniska system är tätt knutna till KTH, varför<br />
det från FBI-håll antogs att intrånget hade med KTH att göra.<br />
Därifrån iakttogs kopplingen till en privat uppkoppling från Bredbandsbolaget.<br />
Denna information lades till KTH:s polisanmälan<br />
långt efter att den hade lämnats in. Texten är på engelska och kommer<br />
direkt från FBI.<br />
År 2006 flög FBI in tre agenter, specialiserade på IT-brottslighet,<br />
till Sverige. Från Arlanda åkte de till polisstationen i Uppsala, mötte<br />
sina svenska kollegor och satte sig ner i ett förhörsrum. Philip Pettersson<br />
steg in i lokalen för att frågas ut ännu en gång. På väg in såg<br />
han sig om och noterade hur de annars vardagligt klädda poliserna i<br />
dag stoltserade i kavaj. Finbesök från Amerika i lilla Uppsala.<br />
För Philip Pettersson var detta ett i en lång rad av förhör, men<br />
mycket var annorlunda. De tre männen – artiga, välvårdade – kunde<br />
prata teknik på en nivå som Philip Pettersson aldrig hade stött på<br />
inom den svenska polisen, minns han. Han ignorerade tolken och<br />
pratade engelska direkt med agenterna. Allt han sa översattes sedan<br />
till svenska för att de andra närvarande inte skulle missa något. Under<br />
nästan en hel dag, sex timmar enligt Philip Pettersson, frågades<br />
han ut om intrången i USA, om universiteten, om Cisco och om<br />
NASA-servrarna. När förhöret var över fick den misstänkte underteckna<br />
ett referat, amerikanerna tackade för sig och åkte hem. Ännu<br />
några pusselbitar hade lagts på plats. Tre år senare skulle de komma<br />
till användning när åtalet väcktes i USA.<br />
67
svenska ha c k a r e<br />
I en amerikansk domstol skulle Philip Pettersson riskera tio års<br />
fängelse och 250 000 dollar i böter för vart och ett av de fem brotten.<br />
Processen hade nått helt nya nivåer. 35 Världspressen vaknade igen och<br />
Philip Petterssons namn dök upp i nyhetsmedier över hela jordklotet.<br />
Många mindes ännu de spektakulära hacken. Själv hade han nåtts av<br />
nyheten när han en morgon satt och klickade sig runt på Upsala Nya<br />
Tidnings sajt, i samma rum som polisen stormat flera år tidigare.<br />
Klumpen i magen kom tillbaka. Skulle historien aldrig ta slut?<br />
Hovrättens fällande dom hade varit ett hårt slag, och ännu hade han<br />
ingen aning om hur han skulle kunna betala det skadestånd han var<br />
skyldig universiteten. Men Philip Pettersson hade ändå sett det som<br />
ett tydligt slut, en punkt där processen var över. Inga fler timslånga<br />
förhör, inga rättegångsdatum. Datorer hade blivit intressanta igen,<br />
inte bara en påminnelse om det som hade hänt. Gymnasietiden var<br />
över och han hade börjat studera datavetenskap på Uppsala universitet.<br />
Och så började allt om igen. Tonåren var över sett till hans<br />
födelsedatum, men alla händelser levde vidare.<br />
– Det finns inte en chans att jag åker till USA. Chansen att jag blir<br />
utlämnad är ännu mindre. Ska jag sitta tio år i svenskt fängelse för<br />
det här? Det är absurt, beklagade Philip Pettersson sig för en svensk<br />
IT-tidning. 36<br />
Nästa steg skulle ligga långt utanför Philip Petterssons egen kontroll.<br />
Ärendet Stakkato blev en fråga som hanterades på diplomatisk<br />
nivå två stater emellan sedan USA bett Sverige om hjälp för att dra<br />
information ur Philip Pettersson. Åtalet som väcktes i USA skulle<br />
visa sig vara en ren formalitet. Syftet var aldrig att få honom åtalad<br />
i amerikansk domstol. Faktum var att Stockholm och Washington<br />
hade förhandlat om att flytta över fallet till Sverige sedan tidigt i<br />
utredningen. Resultatet blev att USA lämnade över en formell förfrågan<br />
till Sverige om att ta över målet och åtala Philip Pettersson för<br />
brotten i en svensk domstol.<br />
Kammaråklagare Chatrine Rudström satte den 4 december 2009<br />
sin signatur på ett brev adresserat till det amerikanska justitiedepartementet.<br />
37 »Jag skriver till er för att bekräfta att Sverige har beslutat att<br />
68
h i s t o r i e n om st a k k a t o<br />
acceptera er förfrågan«, skrev hon och lovade att själv följa fallet och<br />
ta ett beslut om åtal. »Fallet har lämnats över till polismyndigheter<br />
för den nödvändiga utredningsprocessen.«<br />
När man läser brevet slås man av den förhållandevis mjuka, nästan<br />
förlåtande tonen. Chatrine Rudström betonar att Philip Pettersson<br />
bara var 16 år gammal när brotten begicks och att han redan har<br />
dömts för dataintrång vid samma tid. Även om bevisen skulle visa sig<br />
vara övertygande, skriver hon, är det inte säkert att det blir ett åtal.<br />
Lagen tillåter att minderåriga slipper undan med hänvisning till att<br />
de redan fällts för liknande brott. Sveriges budskap till USA var att<br />
»Visst, vi kan ta över målet. Ni slipper handskas med det, men lita<br />
inte på att det går till domstol.« Ett avslutande »boys will be boys«<br />
är egentligen det enda som saknas för att brevet helt skulle tona ner<br />
sannolikheten för en ny rättegång.<br />
Amerikanerna accepterade. Sedan den 29 januari 2010 är Philip<br />
Pettersson inte misstänkt för något brott i USA. 38<br />
»Bara för att någonting bryter mot lagen<br />
så innebär det ju inte att det är helt fel.«<br />
Kvällsluften i Uppsala är tung av fukt när vi möter Philip Pettersson.<br />
Vi har stämt träff utanför hamburgerrestaurangen Max glasdörrar vid<br />
Stortorget. Staden laddar för SM-finalen i bandy och en stor rund<br />
ljustavla mitt på torget sveper sitt sken över asfalten. Några minuter<br />
efter utsatt tid kommer han gående, vi skakar hand och sneddar över<br />
torget till ett kafé. Philip Pettersson ställer ner sin kaffekopp på bordet.<br />
Han är 21 år gammal, har börjat studera på ett av de universitet<br />
han har dömts för att ha hackat. Men för honom är historien långt<br />
från avslutad.<br />
Tonen är avspänd och intelligent när han talar. Då och då ler han<br />
när minnen från karusellen som pågått de senaste åren dyker upp,<br />
speciellt är det tekniska detaljer som får honom på gott humör. Ibland<br />
lyfter han blicken mot taket för att tänka efter.<br />
Philip Pettersson har aldrig tidigare pratat öppet om det händelse-<br />
69
svenska ha c k a r e<br />
förlopp som förändrade hans liv. Bortsett från korthuggna citat i<br />
samtal med journalister över telefon har han hållit sig i bakgrunden,<br />
låtit processen gå vidare med hopp om ett snabbt och smärtfritt slut.<br />
Nu, på ett fik bara ett par hundra meter från polishuset i Uppsala<br />
och med skadeståndskravet fortfarande hängande över sig, vill han<br />
bryta tystnaden. Försöka förklara vem han är och varför saker blev<br />
som de blev.<br />
Sedan några veckor har vi haft kontakt via mejl. Vi har diskuterat<br />
var vi ska träffas och försökt hitta en lämplig tid som inte<br />
krockar med hans studier. Tidigt säger han att han kan prata med<br />
oss om hur tillslaget gick till och hur den utdragna rättsprocessen<br />
legat som ett ok på hans axlar i flera år. Däremot vill han inte<br />
gå in på exakt vad han gjorde när intrången ägde rum. Vi accepterar.<br />
När vi träffas är det amerikanska åtalet är ännu inte avgjort.<br />
Han smakar på kaffet och börjar berätta.<br />
70<br />
Jag minns en gång när jag gick i sjuan. Jag kunde inte särskilt<br />
mycket då, men jag gick in i chattkanalen #hack.se. De<br />
allra flesta där kunde mer än jag då, allt jag hade gjort var<br />
egentligen att installera Linux på min dator. De dissade mig<br />
ganska brutalt när jag försökte skaffa polare där och jag insåg<br />
att jag inte kunde så mycket, att jag borde sätta mig ner och<br />
lära mig så att jag sen, om några år, skulle kunna vara den<br />
som ser ner på dem. På så sätt kan lite mobbning vara bra,<br />
bara man tar det konstruktivt.<br />
Vissa skulle nog stötas bort av en sådan sak och inte<br />
komma tillbaka. Det är en ganska hård värld och folk på<br />
internet är inte alltid så trevliga. Men om man lägger sig ner<br />
och gråter för att någon är taskig mot en på nätet så kanske<br />
man inte passar in.<br />
Det där blev annorlunda sen. Någon gång när jag gick i<br />
åttan eller nian var det någon snubbe i samma kanal som var<br />
rätt kaxig och otrevlig mot dem han inte kände. Vi började<br />
prata och han ville mobba mig lite. Han gav mig en utma-
h i s t o r i e n om st a k k a t o<br />
ning, sa »visa hur du kan utnyttja den här buggen« – något<br />
enkelt buggigt program – och jag visade att jag kunde göra<br />
det på många fler sätt än han hade tänkt på. Plötsligt ändrades<br />
hans sätt, han blev schysst och vi blev ganska bra polare<br />
efter det där.<br />
Men, ja. Jag har nog själv varit likadan. Den internationella<br />
hackarscenen – den undre världen så att säga – är väldigt<br />
hierarkisk. Först är man ingen och man försöker hänga med<br />
de som är bättre än en själv. Man blir förnedrad, kommer<br />
tillbaka när man har lärt sig mer och då kommer man upp<br />
på samma nivå. Det finns folk där som jag aldrig har träffat<br />
IRL men som jag har känt i åtta år. Då blir det på riktigt,<br />
liksom.<br />
Det finns de som försöker hacka sig in i system, men<br />
många bara programmerar bakdörrar och sådant. Det är en<br />
väldigt komplex värld, det finns inget ställe där alla hänger<br />
utan det är snarare olika celler, grupper med tre-fyra polare<br />
som litar på varandra och delar precis all information de har,<br />
oavsett om det är någonting från system de hackat eller ett<br />
nytt program för att knäcka system. Dessa celler är kopplade<br />
till varandra och tillsammans blir de så att säga hackarscenen.<br />
Visst finns det de som gör det för egen vinning, men<br />
för de flesta är det bara en typ av utmaning. Det finns de<br />
som lyckas hacka värsta top secret-systemen men bara sitter<br />
inloggade och låter det vara. Det är en fjäder i hatten. Högst<br />
smäller det att hacka .mil. Det är det fetaste. Efter det kommer<br />
.gov, eller riktigt stora företag som Cisco, Microsoft eller<br />
AT&T.<br />
Hela tiden, från när jag var liten, har datorer egentligen<br />
varit det enda jag har hållit på med. Så var det på gymnasiet<br />
också. Då hade jag visserligen flickvän, och det tar ju en del<br />
tid. Men förutom det, bara datorer. Jag gick knappast till<br />
skolan varje dag, men jag skötte den ändå och fick bra betyg,<br />
flest MVG. Det enda jag någonsin fått IG i är idrott. Så det<br />
71
svenska ha c k a r e<br />
72<br />
har aldrig varit något problem, men det hände ofta att jag<br />
gick till skolan efter att ha sovit i tre timmar, kom hem och<br />
somnade. Sedan vaknade jag någon gång på kvällen och satt<br />
och grejade med datorn hela natten. Allt hände på nätterna.<br />
Det är väl för att det är så tyst och lugnt då, man slipper bli<br />
störd. När jag koncentrerade mig ordentligt på programmeringen<br />
så kunde jag hamna »in the zone« och om någon<br />
knackade på dörren eller om det var liv utanför så tappade<br />
jag det. Annars vet jag inte varför nätterna är så speciella.<br />
Min mamma – hon är läkare – var ganska ofta utomlands<br />
och jobbade. Så jag hade ju ingen som sa åt mig att jag<br />
borde gå och lägga mig.<br />
Ändå var jag inte frustrerad över skolan. För att bli det<br />
måste man ha utgångspunkten att man är där för att lära<br />
sig någonting, och jag har alltid sett det som att åtminstone<br />
gymnasiet bara är ett dagis för större barn. Jag hade ganska<br />
kul, umgicks med mina kompisar. Vi hade ju laptops på ITgymnasiet<br />
så vi satt mest där och surfade. Men om man tror<br />
att man ska få någon slags erfarenhet och en massa nyttig<br />
kunskap så får man vänta tills man kommer till universitetet.<br />
Minst.<br />
Så varför datorer. Om en dator pajar så finns det alltid en<br />
anledning till det, och man kan fixa det. Allt är deterministiskt,<br />
så att säga. Och sen är det hela onlinevärlden. När man<br />
tillbringar tid i chattrum blir man dömd efter sina meriter,<br />
inte på grund av hur man ser ut eller hur mycket pengar<br />
man har, bara på ens kunskap och på hur man beter sig. På<br />
sätt och vis är det ett slags perfekt samhälle.<br />
När man väl har kommit in på den banan går det inte<br />
att bara lämna den och börja använda datorn »som vanligt<br />
folk«. Man har sett den andra sidan, att det finns någonting<br />
bakom alltihop. Då vill man bara lära sig mer om hur alltihop<br />
fungerar.<br />
Senare på gymnasiet, efter att jag hade blivit raidad, tap-
h i s t o r i e n om st a k k a t o<br />
pade jag helt gnistan ett tag. Jag kunde inte få någonting<br />
gjort med datorer. Det är tragiskt vad det här har gjort för<br />
min framtid, men datorer är ju min passion. Ett par gånger<br />
har jag tänkt att mitt liv hade varit bättre om jag hade spelat<br />
fotboll när jag var liten i stället för att hålla på med datorer.<br />
Gnistan kom tillbaka efter hovrättens dom. Då kändes det<br />
som att allt skulle bli bra igen. Jag ville ju bara att det skulle<br />
försvinna.<br />
Då hade jag börjat studera datavetenskap på Uppsala<br />
universitet. Några av studenterna gick ju där redan när<br />
intrången skedde. Alla studenters lösenord hade ju fått bytas<br />
ut och inte alla tyckte att jag var en bra person direkt. Så nej,<br />
jag kände mig inte så välkommen. Andra tyckte bara att det<br />
var ballt. De ser det inte som att domen innebär att jag helt<br />
saknar etik och moral. Bara för att någonting bryter mot<br />
lagen så innebär det ju inte att det är helt fel. Dataintrång<br />
är ju ett väldigt speciellt brott. Det hade varit annorlunda<br />
om jag hade blivit dömd för barnporrbrott eller någonting<br />
sådant.<br />
Åklagaren och förhörsledaren har hela tiden uttryckt sig<br />
som att jag är en dålig människa, att jag skulle sitta där och<br />
ha dåligt samvete. Men några av killarna från rikskrim visade<br />
snarare en slags respekt. Han hade ju suttit och gått igenom<br />
materialet de hittade på min dator och man får en annan<br />
uppfattning när man förstår det. Han måste ha spenderat<br />
många timmar med att rota runt i materialet och tyckte nog<br />
det var roligare än hans andra arbetsuppgifter. Så jag menade<br />
det verkligen när jag sa »Ni måste ha haft mycket kul« där<br />
under förhöret.<br />
Jag var på ett till förhör nyligen. Det gällde det där amerikanska.<br />
Om den drar igång nu så vore det … Det skulle vara<br />
stressande, men jag skulle inte gå under. Jag är ganska van.<br />
Efter universitetet får vi se om jag tar ett legitimt jobb i<br />
Sverige. Ärligt talat känns det som att jag lever i fördröjd<br />
73
svenska ha c k a r e<br />
74<br />
exil. Jag utbildar mig här och tanken är att jag ska kunna få<br />
en schysst lön. Men ett jobb i Sverige skulle, med tanke på<br />
skadeståndet, som mest ge mig 10 000 i månaden. Nej, jag<br />
tror inte jag blir kvar länge till. Kanske åker jag till Tyskland,<br />
var som helst där de inte förföljer mig. Jag känner mig<br />
faktiskt förföljd här.<br />
Jag skulle kunna tänka mig att arbeta som programmerare.<br />
Eller någonting med säkerhet.<br />
Philip Pettersson är dömd till villkorlig dom för sju fall av dataintrång<br />
mot svenska universitet. Sommaren 2010 lades förundersökningen<br />
om intrång mot NASA och Cisco ned, med hänvisning till<br />
den tidigare domen. Han nekar fortfarande till anklagelserna och<br />
står fast vid sin berättelse om thailändaren Stakkato och rumänen<br />
Nebunu. Våren 2010 har han ännu inte börjat betala skadestånd till<br />
universiteten.
Först in i framtiden<br />
Från en källare i Alvik till världens bästa IT-land<br />
En myt är att riktiga <strong>hackare</strong> är sådana typer som MIT-hackarna.<br />
Det är lögn. MIT-hackarna var nördar utan liv med<br />
låg imponansfaktor. Sen kom man på att <strong>hackare</strong> kanske var<br />
sådana typer som bröt sig in i datorsystem. Fast där stötte<br />
man också på problem. Det gick helt enkelt inte att kategorisera<br />
båda typerna som <strong>hackare</strong>.<br />
FÖR DET ÄR JU SÅ JÄVLA UPPENBART. HACKARE<br />
SOM INTE HACKAR ÄR INGA HACKARE. ALLTSÅ.<br />
HACKARE HACKAR!<br />
– Arga Unga Hackare, 2005 39<br />
KvällEN DEN 22 aprIl 1980 var det fullsatt i hörsal E7 på Kungliga<br />
Tekniska Högskolan i Stockholm. Omkring 200 svenska datorentusiaster,<br />
de flesta av dem unga män, hade tagit plats för att närvara vid<br />
den nybildade datorföreningen ABC-klubbens första årsmöte. En<br />
förväntansfull stämning låg i luften. Kallelsen till mötet hade lockat<br />
med att klubbens eget kommunikationsprogram skulle visas upp för<br />
första gången. Ingen visste exakt vad det innebar, men i bänkraderna<br />
tisslades och tasslades det om att någonting extraordinärt var på<br />
gång.<br />
På scen fanns klubbens nytillträdde ordförande Gunnar Tidner<br />
och mötesordförande Odd Rolander, båda slipsprydda ingenjörer i<br />
fyrtioårsåldern och mer än ett decennium äldre än de flesta i publi-<br />
75
svenska ha c k a r e<br />
ken. På bordet intill stod en knubbig liten gulvit ABC-80-dator, vid<br />
den här tiden Sveriges i särklass mest populära hemdator. En extra<br />
skärm var inkopplad och vänd mot publiken. Bredvid datorn stod ett<br />
av Televerkets modem och en telefon.<br />
I det övre vänstra hörnet på den annars nattsvarta datorskärmen<br />
blinkade en svagt lysande grön rektangel. Den visade att datorn var<br />
påslagen och redo att ta emot kommandon.<br />
Några mil bort, i ett radhus i Täby norr om Stockholm, stod ännu<br />
en ABC-80 och väntade på instruktioner. Mait Tidner, ABC-ordföranden<br />
Gunnar Tidners fru, vandrade in i arbetsrummet och slog<br />
sig ned framför datorn. Bredvid den stod ett modem, snarlikt det<br />
som befann sig på scenen i hörsalen på KTH. Hon slog på datorn,<br />
anslöt modemet och knäppte på skärmen, precis som hon och Gunnar<br />
kommit överens om tidigare. Hon skrev in ett par kommandon<br />
och tryckte enter. Ett kort budskap rullade fram på skärmen.<br />
76<br />
MONITORN LADDAD. VÄNTAR PÅ ANROP.<br />
På KTH rätade Gunnar Tidner till slipsen och klev fram till datorn<br />
på scen. Sorlet från publiken tystnade när han böjde sig ned och började<br />
knappa på tangentbordet.<br />
RUN T80PRT<br />
LOAD ABCMIN<br />
RUN<br />
Han tryckte ned entertangenten. *** HALF DUPLEX *** skrevs ut på<br />
skärmen. Den gröna markören blinkade.<br />
Gunnar Tidner harklade sig, lyfte på telefonluren och slog numret<br />
hem till radhuset i Täby. Efter tre ringsignaler hörde han ett välbekant<br />
väsande, klickande och pipande ljud när modemet klickade<br />
igång. Han tryckte in A-knappen på modemet och lade ned telefonluren.<br />
Pipandet övergick i ett knastrande brus när de två datorerna<br />
fick kontakt. Plötsligt började nya tecken rulla fram över skärmen.<br />
Publiken spärrade upp ögonen.
ABC-80 MONITOR KL 20:19<br />
VAD VILL DU GÖRA?<br />
f ö r s t in i fr a m t i d e n<br />
Datorn på scenen i KTH:s hörsal var nu ansluten till ABC-80-datorn<br />
hemma i Täby. Texten som syntes på skärmen hade skickats tvärs över<br />
Stockholm via telefonnätet. Åskådarna lutade sig framåt i stolarna.<br />
Modemets visslande fortsatte. Gunnar Tidner fortsatte att knappa på<br />
tangentbordet.<br />
GET, skrev han och tryckte J för att bekräfta. Sedan TAKDROPP.BAS<br />
och enter. Datorn sög åt sig informationen och skickade den vidare.<br />
I Täby började datorn på skrivbordet framför Mait Tidner att surra.<br />
ÖVERFÖRING KLAR! skrevs ut på skärmen på KTH. Gunnar Tidner<br />
kunde nästan höra hur publikens ögonbryn höjdes. Han letade<br />
raskt upp filen TAKDROPP.BAS i datorns minne och startade programmet.<br />
Skärmen fylldes av tecken. Tillsammans skapade de en bild, en<br />
husfasad sedd framifrån men byggd av bokstäver och siffror i stället<br />
för pixlar. Taket, väggarna och fönsterkarmarna bestod av bokstäver,<br />
siffror och symboler. Under taket hängde ett tjockt lager vårsnö.<br />
Varje snöflinga representerades av tecknet #.<br />
Gunnar Tidner log stolt. Snöflingorna föll sakta ned från taket och<br />
längs med husfasaden. Det droppade från taket. TAKDROPP.BAS.<br />
Ett sus gick genom lokalen. Spridda applåder hördes. Medlemmarna<br />
i ABC-klubben utgjorde vid den här tiden gräddan i den<br />
svenska datorvärlden. Många av de närvarande använde dagligen<br />
de avancerade datorsystemen på Stockholms universitet eller KTH.<br />
Ändå var alla överens om att de just bevittnat en revolution. Gunnar<br />
Tidner hade visat att en hemdator, en simpel ABC-80, kunde<br />
användas för att skicka och ta emot filer över telenätet. Det var<br />
funktioner som tidigare varit förbehållet universitetens och storföretagens<br />
datorsystem, maskiner som kostade flera miljoner kronor<br />
att underhålla och som bara fick användas av utvalda experter. Få<br />
hade vågat föreställa sig att deras egna hemdatorer var kapabla till<br />
sådana storverk.<br />
77
svenska ha c k a r e<br />
Gunnar Tidner log stolt och fortsatte knappa på tangenterna. Han<br />
hade ett trumfkort kvar att visa upp.<br />
MESS, skrev han och tryckte enter. Sedan J för att bekräfta. Snötaket<br />
försvann från skärmen och nya tecken rullade fram.<br />
78<br />
ETT ÖGONBLICK...<br />
MESSAGE<br />
SKRIVA MEDDELANDE TILL VARANDRA<br />
Han fortsatte skriva. HEJ MAIT, KAN DU LÄSA DETTA? KOM. Datorn<br />
surrade i ett par sekunder, modemet skickade ny information<br />
över telenätet.<br />
JA DET KAN JAG KOM, syntes på skärmen.<br />
Ordet chatt var inte uppfunnet än. Men Sveriges första chattprogram<br />
var precis vad Gunnar Tidner nu demonstrerade.<br />
DE HAR VALT MIG TILL ORDFÖRANDE KOM, skrev han som<br />
svar.<br />
Ett skratt spred sig genom hörsalen. Åskådarna skruvade på sig<br />
av förtjusning. Möjligheterna som nu öppnade sig var enorma. För
f ö r s t in i fr a m t i d e n<br />
första gången fanns ett sätt att skicka information mellan två hemdatorer<br />
utan att behöva disketter eller kassettband. Det var inte längre<br />
nödvändigt att sitta i samma rum, eller ens i samma land, för att<br />
prata eller byta filer med varandra. Det kliade i de unga datorentusiasternas<br />
fingrar.<br />
Efter demonstrationen förklarade Gunnar Tidner och Odd Rolander<br />
syftet med dagens möte. ABC-klubbens styrelse ville skapa en<br />
egen datacentral för medlemmarna, en digital mötesplats för att dela<br />
med sig av program, byta erfarenheter och åsikter. Gunnar Tidners<br />
program skulle bli grunden i systemet. Beslutet klubbades omedelbart<br />
igenom och med det föddes Monitorn, Sveriges första elektroniska<br />
anslagstavla utanför myndigheternas och storföretagens kontroll.<br />
Den svenska <strong>hackare</strong>n hade blivit en organiserad figur. 40<br />
Kontakt<br />
I januari 1981, nästan ett år efter den första demonstrationen på KTH,<br />
kopplade Gunnar Tidner upp Monitorn, hemdatorföreningen ABCklubbens<br />
elektroniska mötesplats. Hårdvaran ställdes i klubblokalen,<br />
en fönsterlös källare i Alviks medborgarhus, och var uppkopplad 24<br />
timmar om dygnet. Nästan omedelbart började medlemmarna klaga<br />
på att det alltid tutade upptaget när de försökte koppla upp sig. 41<br />
Monitorn var Sveriges första ideella BBS. En BBS, Bulletin Board<br />
System, är enkelt uttryckt ett slags föregångare till det vi i dag kallar<br />
för internet. I sin enklaste form består en BBS, populärt kallad en<br />
bas eller bräda, av en ensam dator ansluten till telenätet via ett modem.<br />
Andra användare kan ansluta till systemet, ladda upp eller ner<br />
filer och lämna meddelanden. System med flera telefonlinjer lät flera<br />
användare ansluta samtidigt, chatta och kanske till och med spela<br />
spel mot varandra. På Monitorn kunde ABC-pionjärerna prata med<br />
varandra och dela egna, hemsnickrade program.<br />
Gunnar Tidner visste det inte då, men hans skapelse skulle få enorm<br />
betydelse för den svenska datorkulturens utveckling. Den praktiska<br />
nyttan med de tidiga baserna var i början nära nog noll. Hastighe-<br />
79
svenska ha c k a r e<br />
terna var så låga att det gick snabbare att skicka disketter med posten<br />
än att flytta filer över telenätet. Men för tiotusentals dator entusiaster<br />
i Sverige var Monitorn en våt dröm på väg att bli verklighet. Maskinerna<br />
i den dammiga källarlokalen i Alvik symboliserade en svindlande<br />
framtidsvision. De sammankopplade ABC-80-datorerna skapade<br />
tillsammans en ny värld, en parallell dimension bestående av<br />
ettor och nollor där den fysiska verkligheten saknade betydelse. En<br />
värld av kod, kreativitet och blixtsnabb kommunikation som var tillgänglig<br />
oavsett var på jordklotet man befann sig.<br />
På 1970-talet så tedde sig fortfarande tanken på en egen hemdator<br />
overklig för de flesta. Bara ett drygt decennium tidigare hade det<br />
verkat lika absurt som att äga sitt eget kärnkraftverk. Ännu tidigare<br />
var den rådande världsbilden att en handfull jättelika datorcentraler,<br />
strategiskt utplacerade på storföretag och universitet runt om i<br />
världen, skulle försörja hela världens befolkning med beräkningskapacitet.<br />
»Det finns en världsmarknad för kanske fem datorer«, ska<br />
IBM-chefen Thomas Watson enligt sägnen ha sagt under det tidiga<br />
fyrtiotalet. Citatets äkthet är föremål för ständig diskussion men det<br />
fångar perfekt dåtidens bild av vart datorvärlden var på väg. 42<br />
Hemdatorn representerade ett radikalt avsteg från den modellen.<br />
Den gav den enskilda användaren kontroll över ett eget system. Datorn<br />
blev en personlig ägodel, inte en hyrd tjänst som förmedlades<br />
till de redan insatta av storföretag eller universitet. Det gjorde datorägandet<br />
till en hobby, att jämföra med bilar, musik eller måleri. I USA<br />
lanserades de första datorerna för hemmabruk i mitten av 1970-talet.<br />
ABC-80 blev den svenska motsvarigheten, en knubbig liten svensktillverkad<br />
hemdator speciellt framtagen för att nå en bred publik. Den<br />
brun-vita maskinen med sina karaktäristiskt rundade hörn, vita och<br />
ljusröda tangenter lanserades den 24 augusti 1978. ABC-80 såg inte<br />
mycket ut för världen, men den var billig – prislappen på 6 900 kronor<br />
var överkomlig även för en svensk medelklassfamilj – och så enkel<br />
att nästan vem som helst kunde använda den. 43<br />
Succén lät inte vänta på sig. I december 1983 hade tillverkaren<br />
Luxor levererat mer än 40 000 ABC-datorer. För en marknad som<br />
80
f ö r s t in i fr a m t i d e n<br />
tidigare omfattat ett fåtal storföretag och universitet runt om i Sverige<br />
var siffrorna hisnande. 44 ABC-klubben, med Gunnar Tidner som<br />
första ordförande, blev snabbt den givna mötesplatsen för de svenska<br />
datoranvändarna. Redan i slutet av 1980 hade klubben mer än 1 300<br />
medlemmar. 45<br />
Nästan omedelbart började en säregen kultur att växa fram kring<br />
de nya maskinerna. Lockelsen i att utforska hur datorn fungerade,<br />
förstå sig på det komplexa förhållandet mellan komponenterna i maskinen,<br />
det som matades in och vad som till slut syntes på skärmen,<br />
utövade en nästan magisk dragningskraft på användarna. Medlemmarna<br />
i ABC-klubben lärde sig att komponera kod och skriva egna<br />
program. Tjusningen i att få datorn att svara på instruktioner – hur<br />
banala de än var – var enorm. Dessutom var de kassettbandspelare<br />
och diskettstationer som följde med de tidiga datorerna perfekta för<br />
att lagra sina alster, dela med sig och visa upp dem för andra. Mötesplatser<br />
som Monitorn gjorde att de inte ens behövde befinna sig i<br />
samma stad för att träffas och prata med varandra.<br />
De mest hängivna entusiasterna kallade sig själva för hackers,<br />
<strong>hackare</strong> på svenska. Ordet hade myntats mer än tjugo år tidigare vid<br />
MIT, Massachusetts Institute of Technology, i USA. Medlemmarna i<br />
universitetets modelljärnvägsklubb kallade där en snillrik lösning på<br />
ett elektroniskt problem för ett hack. En person som tyckte mer om<br />
att mixtra med de elektroniska anslutningar som drev modelljärnvägen<br />
än att köra själva tågen kallades för en hacker. Ända sedan dess<br />
har begreppet varit en titel som tekniker och datorentusiaster världen<br />
över applicerat på sig själva med stolthet. En <strong>hackare</strong> är någon som<br />
rör sig obehindrat mellan sammankopplade datorsystem, en person<br />
som tar sig an utmaningar med entusiasm och har förmågan att finna<br />
nya, imponerande och eleganta lösningar på tekniska problem. 46<br />
Pionjärerna i ABC-klubben var i huvudsak matematiker och ingenjörer<br />
med rötter i stordator- och universitetsvärlden. Men under<br />
1980-talet blommade datorkulturen ut i helt nya riktningar. 1983,<br />
samma år som punkgruppen Ebba Grön splittrades, lanserades Commodore<br />
64 i Sverige. Commodore 64 är världens mest sålda hemda-<br />
81
svenska ha c k a r e<br />
tor med mer än 100 000 sålda exemplar bara i Sverige. Till utseendet<br />
var Commodore 64, och många av de konkurrerande maskinerna<br />
som dök upp på marknaden ungefär samtidigt, snarlik den svenska<br />
ABC-80-datorn. Men nu var målgruppen inte längre ingenjörer och<br />
universitetsstudenter utan helt vanliga tonåringar. Det dröjde inte<br />
länge innan samma digitala upptäckarglädje som fört samman entusiasterna<br />
i ABC-klubben hade slagit klorna i en yngre generation.<br />
Precis som KTH var mötesplatsen för ABC-entusiasterna så blev<br />
nu högstadie- och gymnasieskolorna knutpunkter i den groende subkulturen.<br />
Det byttes spel och program, knöts kontakter och delades<br />
erfarenheter. I mötet mellan skolungdomarna och datortekniken så<br />
hände någonting viktigt. Hemdatorn blev ett sätt för tekniskt begåvade<br />
ungdomar att hitta gemenskap och grupptillhörighet. Ett par år<br />
tidigare hade den svenska punkrörelsen lyft ett föraktfullt långfinger<br />
mot vuxenvärlden. Nu fanns en digital motsvarighet, någonting att<br />
enas kring för de som inte passade in i skolans fotbollslag eller var<br />
särskilt intresserade av att meka med mopeder. I mitten av 1980-talet<br />
började allt fler tonårsrum runt om i Sverige att lysas upp av det<br />
svagt grönskimrande skenet från datorskärmar. Tiotusentals ungdomar<br />
offrade sin nattsömn för att utforska sina nya maskiner, spela<br />
spel, programmera och vrida och vända på datorerna för att se vad<br />
tekniken var kapabel till.<br />
BBS-världen blev kittet som band de unga datorentusiasterna samman.<br />
ABC-klubbens Monitorn var först, men ett par år senare var den<br />
digitala värld som Gunnar Tidner och de andra ABC-entusiasterna<br />
gläntat på dörren till fullständigt förändrad. Mot slutet av 1980-talet<br />
fanns tusentals baser i Sverige. Majoriteten drevs inte av teknikintresserade<br />
ingenjörer utan av ungdomar, personer som fortfarande gick i<br />
grundskolan och inte ens var gamla nog att köpa folköl.<br />
Att dra igång en egen BBS var en smal sak. Allt som behövdes för<br />
att starta upp det egna närområdets lilla datorcentral var en hemdator<br />
och en telefonlinje som kunde ta emot inkommande anslutningar. I<br />
gengäld väntade ära och berömmelse bland andra datorentusiaster<br />
på orten. Den som drev en egen bas – systemoperatören – var gud<br />
82
f ö r s t in i fr a m t i d e n<br />
och allsmäktig på sitt eget system, alltid med första tjing på nya program,<br />
spel och annan information som laddades upp till basen. För<br />
användarna var det en förhäxande känsla att koppla upp sin dator<br />
mot telefonnätet, höra modemets väsande och pipande när det etablerade<br />
kontakt och sen börja utforska vad som fanns på andra sidan.<br />
Att ringa runt på baserna var ett äventyr. De unga pionjärerna var<br />
upptäcksresande i den nya, outforskade digitala värld som låg gömd<br />
i telefonnätets koppartrådar och mellan tusentals uppkopplade hemdatorer<br />
runt om i Sverige.<br />
Många ur den nya generationen av datorentusiaster kallade sig<br />
också <strong>hackare</strong>, men ordet klingade nu mer av tonårsaktig uppstudsighet<br />
än av ingenjörsmässigt teknikintresse. Stämningen på baserna<br />
var kreativ, kaosartad och upprymd, som en digital fritidsgård helt fri<br />
från vuxna där ingenting var förbjudet. Där var skolgårdens krav på<br />
rätt kläder, rätt utseende och rätt vänner som bortblåsta. Användarnas<br />
verkliga identiteter byttes mot »handles«, korta och fantasifulla<br />
smeknamn som representerade dem på baserna. I teorin var det ett<br />
enkelt sätt att skilja olika personer från varandra. I praktiken var det<br />
långt mycket viktigare än så. Ett handle var ett artistnamn, ett högst<br />
personligt varumärke att vårda ömt och utveckla över tid.<br />
Kulturen som växte fram hade en stark lokal prägel. Dels spreds<br />
nummer till baserna oftast via hörsägen, på skolgårdarna och i kompiskretsen.<br />
Men dåtidens skyhöga samtalstaxor satte också stopp för<br />
längre anslutningar bortom den egna orten. Till kulturen hörde också<br />
en tonårsmässig fascination för det förbjudna. Visst fanns det diskussioner<br />
om politik, film, musik och andra vardagligheter på baserna.<br />
Men mer spännande var textfiler med bombrecept, instruktioner för<br />
att tillverka droger av bananskal och trädgårdsväxter, porrbilder och<br />
piratkopierade spel och program. De baser som kunde skryta med de<br />
största utbudet av åtråvärda filer växte snabbt i anseende, och personerna<br />
bakom dem blev kändisar i den lilla världen av invigda.<br />
Den nya generationen tog med sig många av skolgårdens normer<br />
ut på baserna. Hackarna organiserade sig i grupper med fantasifulla<br />
namn, en slags datorvärldens motsvarighet till ungdomsgäng. De<br />
83
svenska ha c k a r e<br />
som specialiserade sig på piratkopiering och att knäcka de kopieringsskydd<br />
som omgärdade kommersiella spel och program kallade sig för<br />
»crackers«. De som var mer intresserade av själva nätverket som band<br />
datorerna samman än maskinerna i sig fick namnet »phreakers« (en<br />
kombination av orden phone och freak). De lade sin tid på att lista<br />
ut hur telefonnätet fungerade och kunde utnyttjas för att ringa gratis.<br />
Några försökte vara snabbast med att komma över de senaste spelen,<br />
vissa tänjde gränserna för den tidens primitiva grafik, allt för att bygga<br />
ryktet kring den egna gruppen och sitt handle.<br />
Men för många var det mest kittlande av allt själva jakten på information,<br />
att försöka ta sig förbi säkerhetsspärrar och få en inblick i<br />
vad som gömde sig på de låsta datorsystem som tillhörde storföretag<br />
och myndigheter. Juristerna föredrog en annan benämning på deras<br />
hobby: dataintrång. Vid den här tidpunkten låg etablissemanget<br />
långt efter vad gällde den digitala utvecklingen. Många företag och<br />
myndigheter hade sina datorsystem uppkopplade mot telenätet, men<br />
säkerhetstänkandet var i de allra flesta fallen lika med noll. Det gjorde<br />
det enkelt för de unga hackarna att leta rätt på intressanta byten<br />
och ta sig in på system där de inte hörde hemma. På vissa baser spreds<br />
listor med telefonnummer och inloggningsuppgifter till intressanta<br />
system. Datorvärlden var jungfrulig mark och knappt något företag<br />
tog säkerhetsfrågan på speciellt stort allvar.<br />
Hackandet fick vissa av ungdomarna att sluta med allt de tidigare<br />
gjort med sina datorer. Ingenting kunde mäta sig med den nya upptäckten.<br />
Att spela spel, programmera eller rita grafik framstod plötsligt<br />
som bottenlöst banalt när maskinen som tidigare varit en leksak, eller<br />
på sin höjd ett hobbyredskap, kunde användas för detta. Topphemlig<br />
information och tillgång till platser de aldrig skulle ha sett. Alla som<br />
i barnaålder har smugit sig in i ett övergivet hus eller spionerat på de<br />
vuxnas fester kan förstå spänningen, den där kittlande upplevelsen att<br />
ta del av något hemligt.<br />
Under 1980- och 1990-talen började så en ny typ av brottsanmälningar<br />
att dyka upp i polisens register. Ofta handlade det om rena<br />
pojkstreck: telefon<strong>hackare</strong> som utnyttjade operatörernas växelsystem<br />
84
f ö r s t in i fr a m t i d e n<br />
för att ringa gratis eller crackargrupper som delade ut piratkopierade<br />
spel och program till sina bekanta. Men snart började mer allvarliga<br />
fall att dyka upp bland polisanmälningarna. Under 1990-talet briserade<br />
tre omfattande dataintrångsfall i Sverige som fick ordentligt<br />
med uppmärksamhet både på hemmaplan och internationellt. Samtliga<br />
hade en sak gemensamt: gärningsmännen var unga män med<br />
rötterna i den svenska hemdator- och BBS-världen.<br />
Konflikt<br />
Klockan närmade sig sex på morgonen på CNN:s huvudkontor i<br />
Atlanta, USA. Webbreportern Wayne Drash, 25 år gammal och med<br />
sitt första riktiga journalistjobb efter universitetet, hade redan varit<br />
på plats i snart en timme. Utanför var staden på väg att vakna, men<br />
det märkte Wayne Drash knappt alls. Ett ensamt litet fönster var det<br />
enda som fanns i den trånga städskrubb som cheferna rensat ut för<br />
att göra plats åt honom och CNN:s nybildade webbredaktion. Här<br />
stod lysrören i taket för belysningen dygnet runt.<br />
CNN var en av de första nyhetsorganisationerna att satsa på journalistik<br />
över webben. Målet var enkelt – på webben skulle CNN<br />
erbjuda samma omedelbara nyhetsbevakning som man gjorde över<br />
tv-nätet, snabbt, rakt på sak och dygnet runt. Redan i augusti 1995<br />
hade sajten cnn.com kopplats på för första gången. Enligt den interna<br />
historieskrivningen var projektet så banbrytande att till och med<br />
självaste Bill Gates, Microsofts grundare, hade tittat in för en rundtur<br />
kort efter premiären. Med påtaglig stolthet hade CNN-chefen Ted<br />
Turner visat IT-miljardären runt i lokalerna och berättat för honom<br />
om den nya värld som var på väg att öppna sig, hur läsarskaran och<br />
reklamintäkterna bara skulle bli större ju fler människor som skaffade<br />
sig datorer. Vissa säger att Bill Gates blev så imponerad att han erbjöd<br />
sig att köpa den nykläckta webbredaktionen på stående fot, men att<br />
Ted Turner tackade nej.<br />
Wayne Drash skrev nyheter för internet. Det gjorde även honom<br />
till något av en pionjär, en av de första journalisterna av sitt slag. Men<br />
85
svenska ha c k a r e<br />
den här morgonen, på plats framför datorn och inklämd i den lilla<br />
städskrubben, var det inte mycket med jobbet som kändes särskilt<br />
glamoröst. Wayne Drash gäspade och försökte blinka tröttheten ur<br />
ögonen. Han tog en slurk kaffe ur pappmuggen han höll i handen.<br />
Svart, storlek medium, från Dunkin’ Donuts. Allt var precis som<br />
vanligt.<br />
Klockan kvart i sex ringde redaktionens tipstelefon. Wayne Drash<br />
sträckte sig över skrivbordet och svarade. I andra änden fanns en röst<br />
med utländsk brytning. Wayne tyckte att den lät europeisk. Ett par<br />
år senare skulle han få en svensk granne och notera likheten.<br />
– CIA:s webbsajt har blivit vandaliserad, sa rösten i luren utan att<br />
presentera sig närmare.<br />
– <strong>Svenska</strong> <strong>hackare</strong> har slagit till igen.<br />
Wayne Drash blev inte förvånad. Att hackargrupper ringde in tips<br />
till redaktionen för att uppmärksamma sina hyss på nätet var inte<br />
ovanligt. Det fanns helt enkelt inte särskilt många andra än CNN att<br />
kontakta för att snabbt få ut en nyhet på webben. Men att tipsaren<br />
pekade ut CIA som offret fick honom ändå att bli intresserad. Det<br />
är trots allt inte varje dag som den amerikanska underrättelsetjänsten<br />
blir hackad, tänkte Wayne Drash.<br />
– Vem är du? Vad har ni gjort? svarade han.<br />
– Det är nog bäst att du ser efter själv, sa rösten och luren lades på.<br />
Wayne Drash lade ned telefonen. Han sträckte sig efter musen,<br />
klickade igång sin webbläsare och surfade in på CIA:s hemsida.<br />
»Welcome to the Central Stupidity Agency«, löd rubriken på sidan.<br />
»STOP LYING BO SKARINDER!!!« stod skrivet i stora, svarta bokstäver<br />
på raden under. Budskapet upprepades på svenska. »SLUTA<br />
LJUG BO SKARINDER!!!« Därefter följde länkar till tidningen<br />
Playboy, hackerz.org, den svenska demogruppen Triads hemsida och<br />
undergroundtidningen Flashback Magazine. Längre ned på sidan<br />
tog hackargruppen Power Through Resistance på sig ansvaret för attacken,<br />
öste ur sig en uppsjö svordomar och bad slutligen CIA dra<br />
åt helvete.<br />
Wayne Drash gjorde det som en nyhetsjournalist gör bäst – bet<br />
86
f ö r s t in i fr a m t i d e n<br />
ihop och hamrade fram en nyhetstext. Det tog knappt två timmar<br />
för CIA att koppla bort den hackade sidan på nätet. Vid tiotiden på<br />
morgonen kablade CNN ut nyheten om vad som hade hänt, och<br />
CIA:s talesman Rick Oborn tvingades bestämt förneka att den amerikanska<br />
underrättelsetjänsten tidigare hade haft något som helst att<br />
göra med åklagare Bo Skarinder eller svenska datorbanditer. 47<br />
Attacken mot CIA:s webbsajt var kulmen på en flera år lång rättsprocess<br />
som innefattade intrång mot hundratals företag och myndigheter<br />
både i Sverige och utomlands, anklagelser om grova bedrägerier<br />
och företagsspioneri. Bo Skarinder var den åklagare som ledde rättegången<br />
mot Swedish Hackers Association, SHA, en av 1990-talets<br />
mest uppmärksammade hackargrupper. Historien hade tagit sin början<br />
fyra år tidigare, då allmänheten för första gången fick en skymt av<br />
den svenska datorkulturens ljusskygga undersida.<br />
»Datoriserat spioneri mot USA«, stod att läsa på Dagens Nyheters<br />
förstasida den 19 april 1992. »Swedish Hackers Association, SHA,<br />
en välorganiserad svensk hackargrupp, har under flera år obehindrat<br />
kunna gå in i och ut ur det amerikanska försvarets datorer. De har<br />
till exempel tillträde till ett av Pentagons system för elektronisk post«,<br />
fortsatte texten. NASA, Pentagon, Regeringskansliet och det svenska<br />
försvaret pekades alla ut som offer. 48<br />
Fyra unga svenskar utgjorde kärnan i SHA. De kallade sig för Mr<br />
Big, Zaphod, Lixom Bah och Nimh. Alla var svenska tonåringar<br />
uppvuxna i BBS-världen. De skiljde sig inte nämnvärt från de tiotusentals<br />
andra ungdomar som spenderade nätterna framför grönskimrande<br />
datorskärmar runt om i Sverige, men hade tidigt fått smak på<br />
storskaliga dataintrång. SHA drev egna baser där användarna bytte<br />
stulna kreditkortsnummer, lösenord och personuppgifter. Gruppen<br />
samlade systematiskt på sig information från hackade system runt<br />
om i både Sverige och i utlandet. Förutom ovan nämnda företag och<br />
institutioner säger sig killarna även ha haft tillgång till datorsystem<br />
hos SE-Banken, SMHI, KTH och Försvarets forskningsanstalt. 49<br />
Redan 1991 hade polisen fått upp ögonen för SHA. Det sedan en<br />
systemadministratör på KTH slagit larm om att killarna i gruppen<br />
87
svenska ha c k a r e<br />
använt skolans datasal i ett av sina projekt. I april året därefter slogs<br />
alltså ett av gruppens intrång upp stort i svenska tidningar. Via en<br />
lucka i dataföretaget DIAB:s system hade medlemmarna i SHA lyckats<br />
komma över telefonnummer och inloggningsuppgifter för hemliga<br />
system hos bland andra det svenska försvaret, regeringen och<br />
polisen. Angreppet var extra pikant då DIAB, som nästan femton<br />
år tidigare varit en av huvudleverantörerna bakom ABC-80-datorn,<br />
nu profilerade sig som ett säkerhetsföretag. Flera av medlemmarna i<br />
SHA anhölls och blev föremål för omfattande polisutredningar. 50<br />
Uppmärksamheten runt SHA blev startskottet för det första mediedrevet<br />
kring den svenska datorkulturen. Kvällspressen gjorde stora<br />
intervjuer med unga databrottslingar och miljoner svenskar fick bekanta<br />
sig med begrepp som baser, dataintrång och <strong>hackare</strong>. Samma<br />
år visade SVT ett kulturreportage som förklarade ord som scenen,<br />
<strong>hackare</strong>, BBS och demo (»som en musikvideo, fast på data«) för tittarna.<br />
Medierna förhöll sig ofta till den framväxande hackarkulturen<br />
med samma roade men oförstående fascination som vuxna ofta visar<br />
inför sina tonåringars musiksmak, även om en viss oro ändå lyser igenom<br />
i inslagen om de unga datorgenierna. Ibland framställdes SHA<br />
och andra grupper som hot mot den rådande världsordningen, vid<br />
andra tillfällen kallades deras förehavanden för oskyldiga pojkstreck<br />
som kunde få allvarliga konsekvenser. 51<br />
Rättegången mot SHA inleddes först i september 1996. Utanför<br />
Sverige hade den knappast väckt något större intresse om det inte vore<br />
för den spektakulära protest som hackarnas supportrar iscensatt när de<br />
saboterade CIA:s hemsida samma månad. Mr Big, Lixom Bah, Nimh<br />
och Zaphod åtalades för bland annat dataintrång, företagsspioneri och<br />
grovt bedrägeri. En femte medlem i gruppen åtalades för omfattande<br />
telefonbedrägerier. Enligt Televerket och den amerikanska operatören<br />
AT&T var han skyldig nästan 200 000 kronor i uteblivna samtalsintäkter.<br />
En månad senare dömdes männen till villkorliga fängelsestraff,<br />
dryga dagsböter och hundratusentals kronor i skadestånd. 52<br />
Ungefär samtidigt landade ett annat fall hos polisens IT-brottsgrupp.<br />
Det rörde en 20-årig phreakare som gick under namnet De-<br />
88
f ö r s t in i fr a m t i d e n<br />
mon Phreaker. Från sitt pojkrum hade han nästan helt lyckats slå ut<br />
USA:s nödnummer 911. Demon Phreaker ringde upp amerikanska<br />
larmcentraler och uppgav sig vara en tekniker. På obruten engelska<br />
bad han om att bli kopplad till en särskild larmstation, men när<br />
operatören skickade honom vidare förblev linjen upptagen eftersom<br />
att samtalet inte gick att koppla ned. Demon Phreaker blockerade<br />
den ena linjen efter den andra och lyckades på så vis slamma igen<br />
stora delar av det amerikanska larmsystemet. År 1996 kontaktades<br />
den svenska IT-brottsgruppen av utredare från FBI. Med Televerkets<br />
hjälp spårades Demon Phreaker till en lägenhet i Göteborg, där den<br />
unge telefon<strong>hackare</strong>n bodde tillsammans med sin familj.<br />
Vid husrannsakan väntade sig polisen att hitta mängder med<br />
avancerad datorutrustning, men det visade sig att samtalen gjorts<br />
från en vanlig knapptelefon. Demon Phreaker var begåvad med ett<br />
extremt sifferminne. Med långa nummerlistor i huvudet hade han<br />
satt mängder av amerikanska larmstationer ur spel. Under ett par<br />
veckor i februari hade Demon Phreaker ringt 60 000 telefonsamtal<br />
till ett värde av två miljoner kronor. Kostnaden lades på omkring<br />
3 000 ovetande amerikanska telekunders räkningar. Kostnaderna<br />
för att reparera luckorna i det amerikanska larmsystemet var långt<br />
större. De svenska utredarna såg inte särskilt allvarligt på intrången.<br />
Men amerikanska FBI kallade 20-åriga Demon Phreaker från Göteborg<br />
för ett hot mot nationens säkerhet. 53<br />
Nittiotalets tredje stora dataintrångshärva började nystas upp<br />
under hösten 1996, bara ett par månader efter att rättegången mot<br />
SHA inletts. Efter en omfattande utredning, som återigen gjordes<br />
tillsammans med Televerket och agenter från FBI, slog polisens ITbrottsgrupp<br />
till mot en lägenhet i Järna utanför Södertälje. Därifrån<br />
hade en grupp ungdomar i 20-årsåldern, via datorsystemen på Uppsala<br />
universitet, lyckats ta sig in i topphemliga system som tillhörde<br />
bland andra det amerikanska flygvapnet och rymdstyrelsen NASA.<br />
Enligt de amerikanska utredarna hade angriparna försökt installera<br />
främmande programvara på systemen och på så vis stjäla topphemlig<br />
information.<br />
89
svenska ha c k a r e<br />
Det hade tagit mer än tre år för polisen och de drabbade företagen<br />
att reda ut den härva av system som gruppen, under namnet<br />
Fragglarna, lyckats ta sig in i. Kostnaderna för att täppa till de säkerhetsluckor<br />
de rotat fram uppgick till flera miljoner kronor. Den här<br />
gången krävde FBI att de svenska databrottslingarna skulle utlämnas<br />
till USA och åtalas för sabotage. Om de svenska myndigheterna sagt<br />
ja hade det kunnat innebära amerikanska fängelsestraff på upp till 60<br />
år, men efter erkännanden slapp de inblandade undan med villkorliga<br />
domar och dagsböter. 54<br />
»För att alla sa att det inte skulle gå«<br />
För det svenska rättsväsendet var alla tre fallen förbryllande. SHA,<br />
Demon Phreaker och Fragglarna hade orsakat skador för miljontals<br />
kronor. De amerikanska myndigheterna, måltavlorna för attackerna,<br />
talade om hot mot rikets säkerhet. Men oavsett hur mycket polisens<br />
utredare grävde i fallen så hittades inget djupare syfte med intrången.<br />
Ingen av grupperna drevs av någon illvilja gentemot sina offer. Ingen<br />
främmande makt låg och lurade bakom de svenska ungdomarna. Det<br />
verkade inte heller finnas något klart vinstintresse bakom attackerna.<br />
Dessutom: flera av gärningsmännen hade reagerat med förvåning när<br />
de greps och åtalades för vad de hade gjort. Varken polisen, domstolen<br />
eller journalisterna fick något bättre svar på frågan om varför än<br />
en axelryckning. »Vi är intresserade av datorer«, var hur SHA förklarade<br />
det hela. »För att alla sa att det inte skulle gå«, svarade Fragglarna<br />
på samma fråga. Det hela påminde mer om bus och vandalism<br />
55<br />
än organiserad brottslighet.D<br />
D<br />
På 1990-talet pratade säkerhetsexperter gärna om »hacking for<br />
fame«. Etablissemanget likställde de unga datorentusiasterna med<br />
graffitimålare, högljudda hårdrockare eller vilken annan obekväm<br />
tonårskultur som helst. Det stämde också bra med hur hackarna själva<br />
uttryckte sig. Piratkopierade spel spreds för att ge kredd och skapa<br />
uppmärksamhet kring den egna gruppen. Hemsidor hackades på löpande<br />
band och dekorerades med nakenbilder, tramsiga förolämp-<br />
90
f ö r s t in i fr a m t i d e n<br />
ningar och flitiga referenser till gruppens namn och medlemmar. En<br />
tonårsaktig upprorsstämning var tongivande i hackarkulturen. De<br />
unga datorentusiasterna var kungar i den nya världen. Att göra narr<br />
av myndigheterna och företagen var lika naturligt som att himla med<br />
ögonen åt sina föräldrars musiksmak.<br />
Men bakom hackarnas framfart dolde sig också djupare drivkrafter.<br />
Ingenjörerna i ABC-klubben, skolgårdarnas spelpirater och tonårs<strong>hackare</strong><br />
som SHA, Fragglarna och Demon Phreaker skiljde sig<br />
radikalt från varandra. Samtidigt förenades de av ett antal mycket<br />
grundläggande övertygelser och värderingar. Deras relation till sina<br />
datorer påminde om den som unga killar har till sina mopeder, eller<br />
den som ursprungshackarna vid MIT hade till sin modelljärnväg.<br />
Datorn var ett verktyg att meka med, någonting som skulle förbättras<br />
och förändras. Det var inte någon samhällsomstörtande ideologi<br />
eller vilja att sabotera som drev på de tidiga hackarna, bara en lust att<br />
vända och vrida på tekniken, att förstå hur telenäten fungerade eller<br />
se vilken hemlig information som låg dold på nästa lösenordsskyddade<br />
server. På samma vis drevs inte crackargrupperna av en fientlighet<br />
mot de kommersiella programbolagen. Att piratkopieringen<br />
kunde skada upphovsmännen var det få som reflekterade över. Men<br />
att kopiera och sprida information vidare var så grundläggande att<br />
det närmast sågs som en självklarhet.<br />
Vid den amerikanska hackarkonferensen Hacker’s Conference<br />
år 1984 myntade författaren Stewart Brand talesättet »Information<br />
wants to be free«. 56 Begreppet har blivit en klyscha, men har ändå<br />
stor betydelse:<br />
Å ena sidan vill informationen vara dyr, eftersom den är så<br />
värdefull. Rätt information vid rätt tidpunkt förändrar ditt<br />
liv. Å andra sidan vill information vara gratis [eller »fri«, förf.<br />
anm.], eftersom kostnaden för att sprida den blir lägre och<br />
lägre. Så dessa två sidor står mot varandra.<br />
91
svenska ha c k a r e<br />
Precis som universum rör sig mot oordning så strävar kod och information<br />
efter spridning och frihet, att kopieras och manipuleras och<br />
utvecklas. Det är inbyggt i datorteknikens väsen, det digitala uppmuntrar<br />
delning och samarbete, missgynnar låsning och kontroll.<br />
De tidiga hemdatorerna såldes tillsammans med bandspelare och<br />
diskettstationer, perfekta för att kopiera och sprida vidare program<br />
och spel. Kärnan i BBS-kulturen var möjligheten att dela information<br />
med varandra, snabbt och över långa avstånd. De amerikanska<br />
försvarsforskare som under 1960-talet drog de första kablarna i vad<br />
som senare skulle bli internet arbetade efter samma principer. Syftet<br />
var att bygga ett system robust nog för att stå emot kärnvapenanfall,<br />
att se till att informationen alltid kom fram oavsett vilka hinder som<br />
lades i dess väg. Precis som Sovjetunionens paradgator är stalinism<br />
omsatt i stadsplanering kan datortekniken betraktas som en fysisk<br />
manifestation av den liberala, lätt anarkistiska hackarkulturen. Öppenhet<br />
och fri spridning av information är kärnvärden som finns<br />
inpräntade i nätets DNA.<br />
För Fragglarna behövdes ingen djupare motivation än »för att alla<br />
sa att det inte skulle gå«. För hackarna i SHA var det onödigt att ge<br />
någon djupare förklaring än »vi är intresserade av datorer«. Enligt<br />
dem och alla andra som betraktade cyberrymden som sitt eget digitala<br />
verkstadsgolv var det ju precis vad allting handlade om. Att<br />
plocka isär, förbättra och undersöka, se till att informationen kom<br />
fram oavsett vilka hinder som låg i vägen.<br />
Att denna världsbild befann sig på kollisionskurs med samhällets<br />
övriga maktstrukturer var uppenbart. Hur förhåller sig vinstdrivande<br />
företag till en värld där produkter kan kopieras till oändlighet och<br />
spridas med ljusets hastighet? Hur hanterar myndigheterna och rättsväsendet<br />
teknik vars själva nervsystem är byggt för att motverka kontroll<br />
och regler? Det var i den motsättningen hackarkulturen uppstod.<br />
Konflikten kan spåras ända till den digitala teknikens gryning,<br />
till sjuttiotalets USA och några av datorvärldens i dag mäktigaste och<br />
mest inflytelserika individer.<br />
I det soliga Kalifornien bildades år 1975 den legendariska dator-<br />
92
f ö r s t in i fr a m t i d e n<br />
klubben Homebrew Computer Club. Med på klubbträffarna fanns<br />
många av dagens absoluta toppnamn inom datorvärlden. Bill Gates,<br />
Microsofts grundare och en av världens rikaste män, rörde sig i kretsarna<br />
kring klubben. Steve Jobs och Steve Wozniak, som senare grundade<br />
datorjätten Apple, var båda medlemmar. Det var även hackarlegenden<br />
John Draper, även känd under sitt handle Captain Crunch.<br />
John Draper var en phreaker, fascinerad av att utforska hur telefonsystemet<br />
fungerade. Enligt legenden hade han lärt sig att vissla<br />
de exakta frekvenser som användes för att koppla fram samtal i det<br />
amerikanska telenätet och kunde på så vis ringa över hela världen<br />
utan att betala ett öre. Själv hävdar han att han en gång lyckades<br />
koppla fram ett samtal till Vita huset och fick tala med självaste president<br />
Richard Nixon. Innan han la på luren berättade John Draper<br />
att toalettpappret var slut i Los Angeles. Sitt smeknamn fick han efter<br />
att ha upptäckt att en leksaksvisselpipa tagen ur ett paket Captain<br />
Crunch-flingor kunde frambringa just den frekvens som behövdes<br />
för att koppla fram ett telefonsamtal. Efter flera duster med rättvisan<br />
och ett par år i fängelse blev John Draper senare en av datorjätten<br />
Apples första anställda. Det sägs att han ska han ha delat med sig av<br />
sina kunskaper till bolagets vd och grundare Steve Jobs, mannen som<br />
senare skulle skapa Macintoshdatorn, iPod och iPhone. 57<br />
Medlemmarna i Homebrew Computer Club träffades regelbundet<br />
för att diskutera teknik och byta erfarenheter i det framväxande<br />
Silicon Valley, den del av San Francisco-området som i dag huserar<br />
företag som Apple, Google, Cisco och Intel. Ofta hölls träffarna på<br />
restaurangen The Oasis i området Menlo Park, vid andra tillfällen i<br />
någon av medlemmarnas garage eller vardagsrum. Det pratades programmering,<br />
affärsmöjligheter och knöts kontakter. Men klubbens<br />
kanske viktigaste bidrag till historien var att det var här som konflikten<br />
mellan hackarkulturens värdegrund och de kommersiella intressenas<br />
vilja att kontrollera och låsa in för första gången ställdes på sin<br />
spets. Huvudpersonen i det dramat var ingen mindre än Bill Gates.<br />
Microsofts första produkt hette Altair BASIC och kom redan 1975.<br />
Det var ett av de första kommersiella programprojekten för den nya<br />
93
svenska ha c k a r e<br />
hemdatormarknaden. Altair BASIC licensierades till datortillverkare<br />
och återförsäljare vilket gjorde att Microsoft kunde ta provision på<br />
varje såld kopia. Redan från början var planen att tjäna pengar på<br />
mjukvaran. På mitten av 1970-talet var det en ny idé. Praxis var att<br />
programvara för hemdatorer skrevs av och för entusiaster och delades<br />
fritt bland användarna. Få hade ens tänkt tanken att försöka<br />
tjäna pengar på hemdatorprogram. Det var hårdvaran som kostade<br />
pengar, mjukvara skrev man själv eller delade med andra glada amatörer.<br />
Naturligtvis skulle Altair BASIC visas upp för medlemmarna i<br />
Homebrew Computer Club. Men efter en av de första demonstrationerna<br />
plockade en av de närvarande med sig ett exemplar av programmet<br />
och gav det till en annan medlem i klubben, en <strong>hackare</strong><br />
vid namn Dan Sokol. Efter en stunds pillande lyckades han lista ut<br />
hur programmet kunde kopieras och skred omedelbart till verket.<br />
Till nästa klubbmöte hade han med sig en papplåda fylld med ett<br />
femtiotal piratkopierade exemplar av Altair BASIC. De närvarande<br />
klubbmedlemmarna tog belåtet för sig. Dan Sokol hade blivit världens<br />
första kända crackare.<br />
Bill Gates blev vansinnig. Att utveckla Altair BASIC hade tagit mer<br />
än ett år och kostat över 40 000 dollar. Nu spreds programmet som<br />
en löpeld bland datorklubbar och entusiaster, men ingen verkade ha<br />
en tanke på att betala för sig. Vid slutet av 1975 såldes flera tusen<br />
Altair 8800-datorer i månaden, men bara ett par hundra exemplar<br />
av Altair BASIC hade sålts i handeln. Intäkterna så långt innebar att<br />
varje utvecklingstimme varit värd mindre än två dollar. Bill Gates gav<br />
utlopp för sin frustration i en artikel med rubriken »An Open Letter<br />
to Hobbyists«, som publicerades i Homebrew Computer Clubs nyhetsbrev<br />
och i datortidningen Computer Notes. Där anklagade han<br />
entusiasterna för stöld och menade att kopieringen satte stopp för<br />
utvecklingen av nya program. 58<br />
»Ni förhindrar att bra programvara skrivs och produceras. Vem<br />
har råd att utföra professionellt arbete utan att få betalt? Vilken hobbyanvändare<br />
kan lägga tre år på att programmera, leta buggar och<br />
94
f ö r s t in i fr a m t i d e n<br />
skriva dokumentation, för att sedan ge bort resultatet gratis?« skriver<br />
Gates i artikeln. »I allt väsentligt är det stöld ni håller på med.«<br />
Reaktionen blev omedelbar och kraftig. De flesta tyckte att Bill<br />
Gates var tokig. För många var själva tanken på att betala för kod<br />
främmande. Hobbyisterna hade inte bett om kommersiella programbolag;<br />
att ingen ville ersätta Bill Gates för hans mödor var hans eget<br />
problem. Men fröet till en debatt som pågår än i dag var sått. För<br />
första gången gick kommersiella intressen emot hackarnas utopiska<br />
världsbild. Entusiasterna delades upp i två läger. De som såg affärsmöjligheterna<br />
i den nya kulturen och de som ville bevara dator världen<br />
fri från kontroll och kommersiella intressen. I konflikten kring Altair<br />
BASIC fann <strong>hackare</strong>n en ny roll – den som fanbärare och förkämpe<br />
för den digitala världens ursprungsbefolkning och mot de kommersiella<br />
intressenas vilja att kontrollera och kolonisera cyberrymden.<br />
I flera decennier fick hackarna hållas. De utvecklade sin egen syn<br />
på teknik, etik och möjligheterna som skulle erbjudas när allting till<br />
slut fungerade som det var tänkt. Visioner om en värld där allt var<br />
ihopkopplat ställdes mot verklighetens krånglande maskiner och<br />
omvärldens ointresserade miner. Under hela 1980-talet hade datorintresset<br />
något obskyrt över sig, en framtoning av någonting kufigt<br />
och svårbegripligt. Först under det tidiga 1990-talet började synen på<br />
datoranvändandet förändras och den teknik som entusiasterna filat<br />
på i decennier fick sitt breda genomslag. I Sverige skulle ett mycket<br />
speciellt mejl komma att markera starten för den nya eran.<br />
Etablissemanget klampar in<br />
Fri, 4 Feb 1994 09:51<br />
Subject: From PM Carl Bildt/Sweden to President Clinton<br />
Dear Bill,<br />
Apart from testing this connection on the global Internet<br />
system, I want to congratulate you on your decision to end<br />
95
svenska ha c k a r e<br />
96<br />
the trade embargo on Vietnam. I am planning to go to Vietnam<br />
in April and will certainly use the occasion to take up<br />
the question of the MIAs.<br />
Sweden is – as you know – one of the leading countries<br />
in the world in the field of telecommunications, and it is<br />
only appropriate that we should be among the first to use<br />
the Internet also for political contacts and communications<br />
around the globe.<br />
Yours,<br />
Carl<br />
1994 skrev statsminister Carl Bildt historia med världens första mejl<br />
två regeringschefer emellan. Noga räknat var mejlet inte mycket mer<br />
än en pr-kupp. Bill Clinton läste sannolikt aldrig Carl Bildts meddelande,<br />
och svaret till den svenska regeringen knåpades ihop av en<br />
anställd i Clintonadministrationen med ansvar för Vita husets mejladress.<br />
Men som startskott för den svenska IT-reformen i mitten av<br />
1990-talet passade det utmärkt. Ett drygt decennium efter att Gunnar<br />
Tidner kopplat upp Monitorn så hade dator- och informationsteknik<br />
blivit orden på alla svenskars läppar.<br />
Sverige genomled i början av 1990-talet sin värsta ekonomiska kris<br />
på mer än 50 år. Hundratusentals svenskar blev arbetslösa, fastighetsmarknaden<br />
kollapsade och räntan sköt i höjden. För både politiker<br />
och näringslivet var informationstekniken en av få ljuspunkter i tillvaron.<br />
När arbetet med att lyfta Sverige ur krisen satte igång beslutade<br />
regeringen att ge informationstekniken en nyckelroll. Datorer och IT<br />
skulle bli hörnstenar i den nya svenska ekonomin – med statligt stöd<br />
och finansiell uppbackning skulle Sverige ta täten i den digitala tidsåldern.<br />
Den nybildade IT-kommissionen, tillsatt av statsminister Carl<br />
Bildt, fick uppdraget att göra verklighet av den visionen. Att projektet<br />
var ambitiöst gick inte att ta miste på. Kommissionens första betänkande<br />
hade den storslagna titeln »Vingar åt människans förmåga«.
f ö r s t in i fr a m t i d e n<br />
Snart var bollen i rullning. Miljarder kronor pumpades in i forskningsprojekt<br />
med anknytning till internet, svenska skolor fick datorer<br />
och kopplades upp, telenätet förstärktes och byggdes ut för att klara<br />
högre datahastigheter. På sikt skulle blixtsnabb internetaccess bli en<br />
lika naturlig del av den svenska infrastrukturen som elektricitet och<br />
vatten. Målet var glasklart: en dator i varje hem och världens mest<br />
IT-kunniga befolkning. 59<br />
Det stora genomslaget kom tack vare den så kallade hem-PC-reformen,<br />
som inleddes 1997 på initiativ av dåvarande skatteminister<br />
Thomas Östros. Projektet innebar att anställda kunde hyra en dator<br />
via sin arbetsgivare och betala genom ett bruttoavdrag på lönen. Det<br />
blev nyckeln för att uppfylla regeringens vision. Plötsligt låg dyrköpta<br />
datorer och internetabonnemang inom räckhåll för genomsnittliga<br />
svenska löntagare. Nu skulle surfandet, spelandet och mejlandet sätta<br />
fart, resonerade politikerna. Datorvanan, den skulle komma automatiskt<br />
om bara en tillräckligt stor del av befolkningen bänkade sig<br />
länge nog framför den tidens beiga lådor och klumpiga skärmar.<br />
Hem-PC-initiativet lyfts ofta fram som katalysatorn bakom Sveriges<br />
tillväxt som IT-nation. Flera miljarder kronor ur statens kassa<br />
öronmärktes för att subventionera svenskarnas datorköp. 1995 fanns<br />
knappt 25 datorer per 100 invånare i Sverige. Fem år senare hade den<br />
siffran mer än fördubblats. Under samma tidsperiod gick Sverige från<br />
att vara det nionde till att vara det fjärde datortätaste landet i världen.<br />
Samtidigt passerade vi USA på analysföretaget IDC:s lista över<br />
världens ledande IT-nationer. Bara under 1998 levererades mer än en<br />
halv miljon statligt subventionerade datorer med internetpaket till<br />
svenska hushåll. 60<br />
På många sätt fungerade det utmärkt. Att peka och klicka blev<br />
allmänbildning och den jäsande IT-bubblan fick företagen att skrika<br />
efter datorkunnig personal. IT-företagen sköt upp som svampar ur<br />
jorden, horder av unga människor utan formell utbildning fick prestigefyllda<br />
jobb som kodknackare, ofta med bättre lön än sina föräldrar.<br />
Bara ett par år senare kraschade allting spektakulärt. Miljarder<br />
kronor försvann när IT-bubblans fantasikonstruktioner gick omkull.<br />
97
svenska ha c k a r e<br />
Tusentals IT-konsulter och internetexperter blev arbetslösa och flera<br />
av den nya teknikens mest hängivna förespråkare fick löpa gatlopp i<br />
pressen. Men svenskarnas relation till datorer och internet hade förändrats<br />
för alltid. Från att ha varit en obskyr subkultur var datorer<br />
och IT på väg att bli en del av svenskarnas vardag.<br />
Vid den här tiden hade internet tagit över som det huvudsakliga<br />
sättet att ansluta datorer till varandra. Vad som börjat som ett amerikanskt<br />
forskningsprojekt hade vuxit till ett globalt, världsomspännande<br />
kommunikationsnät dit allt fler system kopplades upp. Målet<br />
var inte på långa vägar det internet vi är så vana vid i dag. Projektet<br />
föddes i Kalifornien under det sena 1960-talet som ett amerikanskt<br />
forskningsprojektet med namnet ARPANET. Tanken var att koppla<br />
ihop militärens och universitetens datorsystem i ett system robust<br />
nog att stå emot ett kärnvapenkrig. För att lyckas med det gjordes<br />
öppenhet och decentralisering till projektets ledstjärnor. ARPANET<br />
skulle inte ha någon mitt, inga kritiska knutpunkter och inget centralt<br />
högkvarter. På så vis skulle kommunikationen fortsätta fungera<br />
även ifall att delar av nätet slogs ut. 61<br />
Nätet växte snabbt. I mitten av 1970-talet drogs de första transatlantiska<br />
kablarna som kopplade upp universitet och högskolor i<br />
Europa. I början av 1980-talet knöt flera svenska högskolor och universitet<br />
ihop SUNET, Swedish University Network, ett rikstäckande<br />
nät som kopplades vidare ut mot det bredare internet. 1990 avslutade<br />
det amerikanska försvaret formellt ARPANET-projektet. Men internet<br />
levde vidare, lika decentraliserat som från början och nu dessutom<br />
inte längre knutet till någon enskild myndighet. I samma veva<br />
öppnades internet för en bred publik och miljoner privatpersoner<br />
världen över tog nyfiket sina första steg ut på nätet.<br />
I Sverige var finansmannen Jan Stenbeck först ut. 1991 började han<br />
genom bolaget Swipnet, senare Tele2, att erbjuda privatpersoner och<br />
företag anslutning till internet. Till en början kostade anslutningarna<br />
tusentals kronor i månaden, men intresset var stort och priserna sjönk<br />
snabbt. Fem år senare hade drygt en miljon svenskar regelbunden tillgång<br />
till nätet. 62<br />
98
f ö r s t in i fr a m t i d e n<br />
Dagens dynamiska webbsidor med välpolerad grafik, sökmotorer<br />
och dominerande kommersiella aktörer var långt borta – den tidiga<br />
webben bestod av text och enstaka bilder på enfärgade grå bakgrunder.<br />
Merparten av informationen kom från glada amatörer. Men<br />
känslan av att blixtsnabbt kunna utbyta information världen över<br />
med hjälp av datanäten var hisnande. Den digitala upptäckarglädje<br />
som ett decennium tidigare bitit sig fast i pionjärerna i ABC-klubben<br />
började nu koppla greppet om en stor del av världens befolkning.<br />
Samtidigt blev det alltmer uppenbart att BBS-världen var på väg<br />
in i en evolutionär återvändsgränd. Internet var ett världsomspännande<br />
digitalt nätverk som möjliggjorde blixtsnabb kommunikation<br />
med så gott som världens alla hörn. Vem behövde då lokala, isolerade<br />
databaser? Under 1990-talets andra hälft minskade antalet aktiva baser<br />
drastiskt. Vissa började erbjuda sina användare internetåtkomst<br />
mot betalning och förvandlades så småningom till renodlade internetleverantörer.<br />
Andra flyttade sin verksamhet till webben, vissa mer<br />
framgångsrikt än andra. Den amerikanska datorjätten AOL, som på<br />
1990-talet anslöt miljontals amerikaner till internet, utvecklades ur<br />
BBS:en Quantum Link. Men för majoriteten av baserna väntade en<br />
stilla död då användarna övergav dem för att i stället ge sig ut och<br />
utforska internet. Där möttes veteranerna, de <strong>hackare</strong> som under decennier<br />
odlat sin egen kultur, av miljontals nya användare. Majoriteten<br />
av dem saknade grundläggande kunskaper om både datorer och<br />
kommunikationsteknikens historia. 63<br />
För datorvärldens ursprungsbefolkning var utvecklingen chockartad.<br />
På bara ett par år hade deras värld gått från välbevarad hemlighet<br />
till allmän angelägenhet. Datorer slutade vara en nördig och perifer<br />
subkultur och blev plötsligt någonting spännande, till och med<br />
häftigt. Plötsligt var tonåringar med rötterna i BBS-världen de som<br />
kunde mest om precis de saker som alla ville hålla på med. Folk som<br />
aldrig hade sett åt dem tidigare ville nu ha hjälp att få igång sina datorer<br />
eller bygga hemsidor. Vissa tog steget från att syssla med datorer<br />
som en hobby till välbetalda jobb som IT-tekniker, samtidigt som<br />
deras baser tynade bort i skuggan av det framväxande internet.<br />
99
svenska ha c k a r e<br />
När etablissemanget gav sig ut på nätet fanns det emellertid sällan<br />
tid att reflektera över datorvärldens historia, kultur och normer. Visserligen<br />
hade internet uppstått i samma teknikerstyrda kretsar som<br />
den tidiga datorkulturen hade gjort. På det tidiga internet rådde en<br />
gemenskap som liknade den man hittade i BBS-världen. Användarna<br />
hjälptes åt att bygga nytt och förbättra. Nätet skapades av användarna<br />
som ett hobbyprojekt utan koppling till vinstdrivande företag<br />
eller enskilda myndigheter. Men det internet som nu växte fram<br />
var någonting helt annat. Bredbandsleverantörernas marknadsföring<br />
förde tankarna till hur det talats om kabel-tv ett par år tidigare. Nätet<br />
framställdes som en underhållningskanal, ännu ett medium där<br />
samma gamla storföretag kunde leverera varor och tjänster. Några<br />
tekniska förkunskaper var det inte tal om, snarare arbetade internetföretagen<br />
hårt för att göra det så enkelt som möjligt för gemene man<br />
att ge sig ut på webben. Minnet av 1990-talets tidiga hackargrupper<br />
och spektakulära dataintrångsfall bleknade i ljuset av IT-bubblan,<br />
och visionerna av den sköna nya multimediavärld som IT-bolagen<br />
målade upp.<br />
En flerfilig motorväg lades tvärs över den svenska datorkulturens<br />
känsliga ekosystem. Den fick helt enkelt maka på sig när näringslivet<br />
tryckte gasen i botten. Nu öste riskkapitalisterna pengar över<br />
de nya, heta IT-bolagen. Hisnande belopp investerades i osannolika<br />
satsningar som Boo.com och Letsbuyit. Konsultbolag som Icon Medialab<br />
och Framtidsfabriken haussades till skyhöga nivåer på börsen.<br />
Samtidigt gjorde etablissemanget allt för att få fotfäste på nätet.<br />
1994 slog Aftonbladet som första svenska tidning upp portarna till<br />
sin webbplats. Konkurrenterna följde raskt efter. Jättar som Telia och<br />
Posten spenderade hundratals miljoner kronor i elektroniska mötesplatser<br />
som Passagen och Torget. År 1996 utsågs internetpaketet till<br />
årets julklapp. Samma år dömdes medlemmarna i hackargruppen<br />
Swedish Hackers Association till fängelse och hundratusentals kronor<br />
i böter.<br />
Men hackarkulturen levde kvar och fortsatte att utvecklas, parallellt<br />
med att etablissemanget fick upp ögonen för den nya tekniken.<br />
100
f ö r s t in i fr a m t i d e n<br />
En ny generation entusiaster växte fram i kölvattnet av IT-reformen.<br />
Runt om i Sverige packade ivriga tonåringar upp nyblanka och<br />
skattesubventionerade hem-PC-anläggningar med ögonen fulla av<br />
upphetsning. Hundratusentals tonårsrum lystes återigen upp av surrande<br />
datorskärmar och dovt blinkande bredbandsmodem nätterna<br />
igenom. Precis som ett decennium tidigare fanns det många som inte<br />
nöjde sig med att använda familjens PC som det var tänkt. Det vreds<br />
och vändes på maskinerna och entusiasterna började utforska vad<br />
som gömde sig på internet, med samma fascination för det förbjudna<br />
och samma nyfikenhet efter vad som gömde sig på nätets låsta delar.<br />
Flera av personerna vi möter i denna bok startade sin bana som<br />
<strong>hackare</strong> just här, framför tjocka skärmar och tidiga hemdatorer delvis<br />
betalda av en regering som var mån om att ge Sverige en tätposition<br />
i vad som kallades för den nya ekonomin.<br />
På många sätt såg det ut som att historien upprepade sig. 1980-talet<br />
hade skapat slutna hackarnätverk och grupper som begick intrång<br />
mot några av världens mäktigaste institutioner. Snart skulle<br />
2000-talets motsvarigheter sticka upp sina huvuden. Men det fanns<br />
en avgörande skillnad. Internets intåg i hemmen, i näringslivet och<br />
hos myndigheterna förändrade förutsättningarna i grunden. Många<br />
av profetiorna om en ständigt uppkopplad värld hade slagit in och<br />
intrången var inte längre en lek, som det trots allt var när SHA och<br />
de andra 1990-talsgrupperna knäckte sina första servrar. Hackande<br />
på 00-talet var blodigt allvar. Hundratals miljoner personer världen<br />
över använde nu mejl dagligen både i det privata och yrkeslivet. Obeskrivliga<br />
mängder hemligheter lagrades på nätet. Tjugo år efter att<br />
Gunnar Tidner kopplat upp ABC-klubbens första BBS hade internet<br />
blivit allmängods. Den digitala världens portar stod vidöppna. För<br />
hackarna hade spelplanen blivit oändligt mycket större än tidigare.<br />
101
Ambassad<strong>hackare</strong>n från Malmö<br />
»Iran ville ha min hjälp«<br />
Malmö, sommaren 2007<br />
DaN EgErStaDS ljuSa kalufs stod på ända. Den unge IT-konsulten<br />
var tillbaka framför datorn, lätt bakfull efter gårdagens fest. Det var<br />
förmiddag och varmt i lägenheten i Malmö. På skärmen framför honom<br />
rullade fortfarande informationen han upptäckt på sin dator under<br />
gårdags kvällen.<br />
Det var en lång lista med lösenord, användarnamn och adresser till<br />
datorsystem som borde vara bland de bäst skyddade i världen. Hela<br />
brev, med avsändare och mottagare som inte hade en aning om att<br />
deras kommunikation nu låg på en hårddisk hos en 21-årig IT-konsult<br />
i Malmö. Det hela kändes obehagligt. Som att han vikt undan gardinerna<br />
för att snegla bakom nätets välordnade fasad och upptäckt<br />
någonting bortom hans vildaste fantasi. En mörk flodvåg av hemligstämplad<br />
information, fritt flödande och öppen för vem som helst<br />
att ta del av. I går, på festen med vännerna, hade Dan Egerstad varit<br />
upprymd över fyndet. Nu var han orolig. Vad hade han snubblat över?<br />
Och vad skulle han göra av alltihop?<br />
Dan Egerstad såg ut som en typisk datorkunnig svensk kille. Han<br />
var lång och gänglig, med ett piggt, lite näsvist utseende. Som ung<br />
bar han glasögon, men synfelet hade sedan ett par år rätats ut med<br />
hjälp av en laserbehandling i Istanbul. Inte sällan gick han klädd i<br />
jeans och en rutig skjorta som han gärna rullade upp ärmarna på när<br />
det blev för varmt. Datorer var och hade alltid varit hans främsta in-<br />
103
svenska ha c k a r e<br />
tresse. Han kunde inte minnas en tid då tangentbordsknattret, hårddiskens<br />
surrande och skärmens bleka sken inte varit en del av hans<br />
liv. På ett personligt plan, utanför betald arbetstid, var det framför<br />
allt IT-säkerhet som lockade. Frågor om hur man skyddade hemliga<br />
digitala uppgifter från att hamna i fel händer – eller tog sig in på<br />
platser där man inte var välkommen.<br />
Någonting drev honom att utforska, att undersöka gränserna för<br />
vad som var möjligt på nätet. Vilka spärrar gick att ta sig förbi? Vilka<br />
regler kunde böjas för att få maskinerna att göra som han ville? Det<br />
kunde handla om experiment han utförde på sina egna maskiner,<br />
att undersöka säkerhetsluckor han hade upptäckt eller bara diskutera<br />
teoretiska exempel med andra säkerhetsintresserade. Det var en<br />
besatthet som var svår att beskriva för de icke-insatta. Att överlista<br />
datorsystemens digitala vägspärrar gav honom en känsla av oövervinnerlighet.<br />
Ruset vid ett lyckat hack var nästan euforiskt. Det hände<br />
att Dan Egerstad blev sittande nätterna igenom framför datorn.<br />
Nu lutade han sig tillbaka framför skrivbordet men behöll ögonen<br />
på skärmen. Rad för rad gick han igenom textfilen på skärmen<br />
framför honom. Server: Ryssland.se. Därefter prydligt redovisade användarnamn<br />
och lösenord. Den ryska ambassaden i Stockholm är en<br />
fästningsliknande byggnad, en stor grå koloss omgiven av ett bastant<br />
järnstängsel mitt emot DN-skrapan på Kungsholmen. Informationen<br />
Dan Egerstad hade framför sig kunde ta honom rakt in i hjärtat av det<br />
komplexet. Han var bara ett par knapptryckningar bort från att läsa<br />
all mejl som skickades och togs emot av tjänstemän och diplomater<br />
där inne.<br />
En rad till med ett servernamn som slutade på ».ir«. Var inte det<br />
Iran? En snabb kontroll på nätet bekräftade det. Uppgifterna som<br />
hade sparats på hans dator gjorde det möjligt att läsa mejl till och<br />
från de anställda på utrikesdepartementet i Teheran.<br />
Dan Egerstad funderade. Han satt på en bomb som han inte hade<br />
en aning om hur han skulle hantera. Skulle han lyfta på luren och<br />
säga som det var? Hur skulle säkerhetschefen på Rysslands ambassad<br />
i Stockholm, en av de mest hårdbevakade i Sverige, reagera på en<br />
104
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
ung, okänd man som ringer och säger att han kan läsa deras mejl?<br />
Borde Dan Egerstad kontakta media? Berätta för andra på nätet vad<br />
han snubblat över? Ringa till polisen? »Hör av dig till Must«, föreslog<br />
en kompis. Men att vända sig till den svenska militära underrättelsetjänsten<br />
skulle innebära att han gav sig ut på ännu grumligare vatten.<br />
Ord som spionage, hot mot rikets säkerhet, började snurra i hans<br />
huvud. Det hela var absurt, som plockat ur en billig deckarroman.<br />
Åtgärderna fick dröja ett tag. Först behövde han skaffa sig en klar<br />
uppfattning om vad som hade hänt.<br />
Dan Egerstad hade inte gjort något olagligt. Åtminstone trodde<br />
han inte det själv. Det var kanske det mest obegripliga med alltihop.<br />
En av de tre datorerna i hans lägenhet hade fått ihop allt detta utan<br />
att han själv gjort något mer än att lyssna lite extra noga på bruset<br />
från informationshavet ute på internet. Allt hade startat som ett experiment,<br />
en slags nyfiken lek med säkerheten på internet. Skriptet,<br />
den programsnutt som var upphov till den minst sagt prekära situation<br />
som Dan Egerstad nu befann sig i, var hans egen skapelse. Bara<br />
den senaste timmen hade det tuggat sig igenom mer information<br />
än vad som ryms på flera normalstora hårddiskar. Programmet var<br />
skrivet för att lyssna och för att sålla, för att snabbt gräva sig igenom<br />
ett kaos av osorterad data på jakt efter nålarna i höstacken, de små<br />
kodsträngar hans dator kände igen som inloggningsinformation till<br />
mejlkonton.<br />
Några dagar tidigare hade han anslutit sin dator till ett digitalt<br />
nätverk byggt för att underlätta anonymitet på nätet, ett verktyg för<br />
de som vill skicka eller ta emot information men hålla sin verkliga<br />
identitet hemlig. Nätverkets princip var enkel. I stället för att skicka<br />
information, till exempel ett mejl, direkt från avsändare till mottagare<br />
så tog systemet omvägar. Informationen studsades fram och tillbaka<br />
över internet, från dator till dator och ibland flera varv runt jorden.<br />
Till slut skapades en så lång kedja av olika kontakter att det blev så<br />
gott som omöjligt att avgöra vem som i slutändan kommunicerade<br />
med vem. När informationen nådde sin slutdestination var källan<br />
höljd i dunkel. Den ursprungliga avsändaren skyddades bakom flera<br />
105
svenska ha c k a r e<br />
lager av andra, som kärnan i en lök, vilket också gett namn åt nätverket.<br />
The Onion Router, Tor.<br />
Tor utvecklas och drivs ideellt av volontärer i hela världen. Det<br />
marknadsförs ofta som ett ovärderligt verktyg för kinesiska dissidenter<br />
som vill slippa förbi den statliga censuren, eller som ett sätt<br />
för whistleblowers att slå larm om korruption och maktmissbruk.<br />
Mycket riktigt finns det gott om exempel där nätverket använts i<br />
sådana syften. Men mellan de anslutna datorerna strömmar också<br />
piratkopierade filmer och barnpornografi. I september 2006 slog polis<br />
i Tyskland till mot sju internetoperatörer och tog ett tiotal servrar<br />
i beslag som misstänktes innehålla barnporr. Inget olagligt material<br />
hittades på hårddiskarna, men på åtminstone några av dem fanns<br />
mjukvaran som används för att ansluta till Tor. Någon hade använt<br />
datorerna och Tor-nätverket för att sprida filmer och bilder utan att<br />
bli upptäckt. 64<br />
Dan Egerstad hade suttit och planerat en föreläsning när han fick<br />
idén till sitt experiment. Som IT-konsult specialiserad på säkerhet<br />
hände det att han höll presentationer för företag som behövde lära<br />
sig mer om dataintrång, kryptering och hur man skyddar digital information<br />
från nyfikna men objudna gäster. Den här gången skulle<br />
det handla om mejl. Dan Egerstad visste att varje föreläsning var en<br />
show, hur torrt ämnet än kunde tyckas vara. Det handlade om underhållning<br />
och undervisning på samma gång. Därför ville han krydda<br />
sitt framträdande med ett litet avslöjande. Att en försvinnande liten<br />
andel av alla mejlanvändare krypterar sina brev är allmänt känt för<br />
säkerhetsexperter. Dessutom är det en gammal sanning att elektroniska<br />
brev som inte krypteras är ungefär lika privata som vykort när<br />
de studsar fram och tillbaka mellan datorer och nätverksväxlar. För<br />
en person med grundläggande hackarkunskaper och tillgång till rätt<br />
delar av nätverket var det en relativt enkel match att bygga ett system<br />
för att lyssna av information på vägen, på samma vis som en brevbärare<br />
enkelt kan smygläsa vykort innan de lämnas av hos mottagaren.<br />
Föreläsningens höjdpunkt skulle bli när han själv berättade vad<br />
han lyckats gräva fram på nätet. »Kolla här«, tänkte han säga till pu-<br />
106
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
bliken. »Jag undersökte helt vanlig mejltrafik och hittade allt detta.<br />
Nästa gång ni skickar ett mejl utan kryptering, tänk på vem som kan<br />
titta över er axel.« Sedan skulle han redovisa exakt hur många procent<br />
av de brev han undersökt som hade varit krypterade. Det var i sådana<br />
stunder han trivdes bäst, när han hade en alldeles egen sanning att<br />
berätta. Någon skulle bli imponerad, en annan skrämd och någon<br />
skulle få skämmas över ett misstag.<br />
För att kunna göra en sådan undersökning behövde han direkt tillgång<br />
till information som strömmar över nätet. Att bryta sig in i en<br />
server eller ett nätverk för att komma åt den hade varit direkt kriminellt,<br />
så det var uteslutet. Men genom att koppla upp sig på Tor-nätverket<br />
gjorde han sig till en del av den kedja av datorer som användes<br />
för att göra avsändaren anonym. Det kan ju inte vara olagligt att<br />
lyssna av data som någon frivilligt skickar via min dator, resonerade<br />
han. Med hjälp av vänner på nätet hade han snabbt satt upp fem<br />
anslutningspunkter, spridda i Europa, USA och Asien. Det innebar<br />
att hans datorer fungerade som noder, de knutpunkter i Tor-nätet<br />
som tog emot och skickade trafik vidare till sin slutdestination. Alla<br />
ställdes de in så att vem som helst skulle kunna skicka sin data via<br />
dem. Samtidigt låg ett av hans program i bakgrunden och spanade<br />
efter sådant som såg ut som mejltrafik. Den informationen sparades<br />
ned lokalt och sorterades automatiskt på hans hårddisk.<br />
Dan Egerstad lät servrarna jobba på i några veckor innan han vittjade<br />
sitt nät. Vad hade han väntat sig för fångst? Privata mejl kanske.<br />
Inloggningsuppgifter till ett gäng hotmail.com- och gmail.com-konton,<br />
där avsändaren inte hade mer än sin värdighet att förlora på att<br />
någon tjuvläste. Därför kunde han nu knappt tro vad han såg framför<br />
sig. Allt som allt kunde han räkna till omkring 3 000 lösenord,<br />
prydligt sorterade och nedsparade. Där fanns inloggningsuppgifter<br />
till mejlkonton hos multinationella storföretag, forsknings- och försvarsinstitut<br />
i Indien, ett brittiskt visumkontor i Nepal, närmare 40<br />
av Kazakstans ambassader runt om i världen. Några av dem hade<br />
kopplingar till Sverige, som den indiska ambassaden i Stockholm.<br />
Resten var spridda över världen, till synes helt utan anknytning till<br />
107
svenska ha c k a r e<br />
hans eget hemland. Listan fortsatte med en rad konsulat och ambassader<br />
i New York och Washington. Lösenord till mejlkonton hos<br />
journalister vid stora, internationella tidningar. Även hela brev dök<br />
upp i flödet. Dan Egerstad log när han läste brevet från den svenska<br />
kungen till Rysslands ambassadör i Stockholm.<br />
Den unge IT-konsulten sträckte på sig framför datorn. Han hade<br />
hittat något stort, så mycket var klart. En enorm källa av topphemliga<br />
uppgifter som av någon anledning hade landat på hans hårddisk<br />
i lägenheten i Malmö. Nu gällde det att agera. Det var dags att formulera<br />
en plan.<br />
Experimentet med Tor-nätverket var långt ifrån det första som<br />
Malmökillen hade dragit igång. En stor del av hans liv hade präglats<br />
av intresset för datorer. Dan Egerstad var knappt tonåring när han<br />
fick sin första Amiga, en populär speldator från det sena 1980-talet.<br />
Men att spela var inte det som lockade mest. Rastlöst började han i<br />
stället utforska vad datorn kunde göra, hur han kunde få den att lyda<br />
kommandon och köra hans egna program.<br />
Dan Egerstad var uppvuxen i Kulladal i södra Malmö, en välartad<br />
stadsdel med villor och minigolfbanor, kanske mest känd för att<br />
Per Albin Hansson föddes där 1885. I samband med att den svenska<br />
staten under 1990-talet plöjde ner miljarder i hem-PC-projektet byttes<br />
Dan Egerstads speldatorer ut mot mer kraftfulla maskiner. En<br />
dag slog Dan Egerstads far till och investerade i två stycken splitter<br />
nya datorer. En av dem ställdes upp i Dan Egerstads rum och blev<br />
hans första egna PC. Det var ett fullt logiskt beslut – redan då var<br />
den unge Malmökillen skickligare än sina föräldrar på att använda<br />
datorn. Visst spelade han fortfarande, men ännu mer spännande var<br />
det att få maskinen att göra sådant som det inte fanns någon manual<br />
till.<br />
Vid den här tiden var den nya hem-PC:n ett vidunder av kraft,<br />
långt mer kapabel än vad som tidigare hade varit inom räckhåll för en<br />
hemmaanvändare. Dan Egerstad började tillbringa mer och mer tid<br />
instängd på sitt rum framför skärmen. Han fick så småningom möjlighet<br />
att koppla upp sig mot internet med den tidens långsamma<br />
108
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
surrande modem. En ny värld öppnade sig. Mest lockade chattkanaler<br />
där hemlighetsfulla människor, anonyma <strong>hackare</strong> och andra i<br />
utkanten för det lagliga umgicks och utbytte information. Dan Egerstad<br />
blev som besatt av att lära sig mer och att bli bekant med de som<br />
kunde lära honom det han behövde kunna. Själv vågade han aldrig<br />
blanda sig i några olagligheter. Dan Egerstad ville bli ett välbetalt<br />
IT-proffs, inte en kriminell <strong>hackare</strong>. Men att lyssna och lära sig var<br />
han duktig på. Han fascinerades av nätets mörka sidor, den makt och<br />
kontroll som skickliga <strong>hackare</strong> utövade.<br />
Ändå ledde intresset inte in på den vanliga vägen, till en IT-utbildning<br />
på universitet och ett välordnat jobb som konsult på ett<br />
stort företag. Efter tre års naturvetenskaplig linje på gymnasiet försökte<br />
sig Dan Egerstad på att studera vid Mälardalens högskola i<br />
Västerås. Men den inrutade tillvaron passade honom inte. Vid sidan<br />
av studierna hade han börjat ta konsultuppdrag i liten skala. Snart<br />
hoppade han av skolan, flyttade till Malmö och satsade på att arbeta,<br />
först som frilansande konsult knuten till ett mindre säkerhetsinriktat<br />
företag och senare med egna projekt. Långt ifrån allt byggde på hans<br />
kunskaper om IT-säkerhet. Han drev en rad hemsidor och webbprojekt<br />
som lockade besökare och gav honom intäkter från reklam.<br />
Dessutom lade en han del tid på en tevespelsbutik som han drev med<br />
några vänner.<br />
Vid sidan om det tog han på sig andra uppdrag. Bland annat erbjöd<br />
han företag att under kontrollerade former försöka hacka sig in<br />
i deras system. Luckorna han hittade rapporterades till arbetsgivaren<br />
som täppte till dem innan någon annan hann ta sig in. Det var så han<br />
trivdes bäst att arbeta. Som sin egen chef, fri att tacka ja eller nej till<br />
uppdrag och sova så länge han ville om morgnarna. Dessutom – den<br />
grå vardagen som IT-konsult på ett storföretag rimmade illa med<br />
Dan Egerstads bild av säkerhetsproffset som en hjälte. Han ville bli<br />
en äventyrare och outsider, någon som jobbade på sina egna villkor.<br />
Inte en stressad och överarbetad konsult i grå kostym.<br />
Dan Egerstad är på många sätt en typisk produkt av hem-PC-reformen.<br />
Även innan staten började satsa på att göra datorn till ett själv-<br />
109
svenska ha c k a r e<br />
klart inslag i de svenska hemmen använde många datorer, inte minst<br />
på sina arbetsplatser. Men den personliga datorn innebar någonting<br />
mer än bara praktisk tillgång till ett tangentbord och en beräkningsenhet.<br />
Den gjorde att folk började betrakta sin dator som någonting<br />
annat än ett arbetsredskap. Hem-PC:n blev en privat ägodel för nöje<br />
och kommunikation, nätuppkopplingen blev en förlängning av det<br />
egna medvetandet. Till stor del användes hem-PC-datorerna till sådant<br />
som i vanlig bemärkelse inte kan sägas vara »nyttigt«. Man spelade<br />
spel, slösurfade, småpratade med andra användare och skickade<br />
mejl bara för att det gick. Men den nära relationen till maskinen<br />
skapade en affektion för datorer som drev på kunskapsutvecklingen<br />
och experimentlustan. Nyckeln var att datorn var ens egen, inte någonting<br />
man delade med andra eller hade till låns på jobbet. 24 timmar<br />
om dygnet, sju dagar i veckan stod den där, tillgänglig oavsett<br />
om den för stunden användes eller inte. Svenskens relation till datorn<br />
blev intim.<br />
Samtidigt representerar Dan Egerstad, tillsammans med alla de<br />
andra ungdomar som växte upp med en hem-PC på rummet, den<br />
andra sidan av samma mynt. Många vägrade acceptera gränserna som<br />
satts upp för datoranvändandet. Ju större deras kunskaper om den<br />
nya tekniken blev, desto mer skavde de tekniska gränser och juridiska<br />
spärrar som präglade vad som gick eller inte gick, var tillåtet eller ej,<br />
i den digitala världen. De ville tänja på reglerna, ha mer information<br />
och större möjligheter att bygga om efter sitt eget sinne.<br />
»Det slutar med mig död, i fängelse eller något ännu värre«<br />
Dan Egerstad arbetade fortfarande som frilansande IT-konsult från<br />
sin lägenhet i södra Malmö. Nu, med den mystiska lösenordslistan<br />
framför sig på skärmen, hade han bestämt sig för att slå larm. Det<br />
bästa han kunde göra under omständigheterna var att ta kontakt<br />
med lösenordens ägare och berätta vad han hade upptäckt. Ju förr desto<br />
bättre, resonerade han. Visst var lösenordslistan spännande, men<br />
det här handlade om någonting betydligt allvarligare än Dan Eger-<br />
110
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
stad hade varit med om tidigare. Det gällde att rädda sig själv undan<br />
misstanken. Genom att visa sig samarbetsvillig hoppades han minska<br />
risken att han själv anklagades för någonting olagligt. Dan Egerstad<br />
drog igång sin webbläsare och började leta fram kontaktuppgifter för<br />
lösenordens ägare.<br />
Responsen blev inte vad han hade väntat sig. Gång på gång ringde<br />
han upp flera av namnen på listan för att berätta vad han hittat.<br />
Topphemlig information från deras datornätverk fanns fritt tillgänglig<br />
på internet. Han erbjöd sig till och med att ställa upp gratis och<br />
hjälpa dem att täppa till det vidöppna säkerhetshålet. Överallt var<br />
svaret avvisande, nästan oartigt. Ingen ville kännas vid problemet.<br />
Alla han nådde fram till var antingen oförstående eller trodde att han<br />
ljög. »Det stämmer inte, det där är omöjligt«, svarade en IT-ansvarig<br />
vid en av ambassaderna. »Jag förstår inte vad du pratar om«, minns<br />
han att en annan ska ha sagt.<br />
Varför ville ingen lyssna? Av allt att döma kunde vem som helst<br />
göra samma sak som han själv hade gjort: avlyssna Tor, hitta samma<br />
lösenord och ta sig in på diplomaternas mejlkonton. Ändå ville ingen<br />
ens höra vad han hade att säga. Tanken på att bara radera informationen<br />
lockade, att fortsätta jobba som om ingenting hade hänt och<br />
glömma hela historien. Men det vore farligt. Hade han lyckats hitta<br />
lösenorden så skulle någon annan snart göra samma sak, kanske någon<br />
med mindre ädla syften än han själv.<br />
Dessutom skulle han missa en chans att skapa riktigt stora rubriker.<br />
Dan Egerstad förstod att historien om de hackade ambassadkontona<br />
kunde få rejält med genomslag i media. Spelade han sina kort<br />
väl kunde det säkert finnas en del plats för honom i artiklarna också.<br />
Den unge IT-konsulten visste mycket väl vilka underverk lite uppmärksamhet<br />
från tidningarna kunde göra för hans karriär. Faktum är<br />
att han spelat samma höga spel en gång tidigare.<br />
I december 2006, knappt ett år tidigare, upptäckte Dan Egerstad<br />
att hans privata bredbandsuppkoppling var märkligt långsam. Han<br />
ställde upp en dator för att kontrollera vad det var som slammade<br />
igen anslutningen och fick närmast en chock när han såg att 4 000<br />
111
svenska ha c k a r e<br />
grannars privata surfande gick direkt via hans egen maskin. En felkonfigurerad<br />
nätverksväxel hos Telia låg bakom. Det var ingen stor<br />
miss, men en <strong>hackare</strong> som visste vad han gjorde kunde enkelt utnyttja<br />
luckan för att se rakt in i grannarnas internettrafik. Dan Egerstad<br />
försökte informera Telia om problemet, men tog också tillfället<br />
i akt och hörde av sig till några tidningar. Snart fick Telias presschef<br />
svettas vid sin telefonlur när journalister ville veta om det stämde att<br />
Malmöbornas bredband kunde avlyssnas.<br />
Så gott som alla stora tidningar hade framställt Dan Egerstad som<br />
den unga, begåvade IT-säkerhetsexperten som tvingat telekomjätten<br />
att förnedrat erkänna sitt misstag. Själv hade han kunnat luta sig tillbaka<br />
och njuta av berömmelsen. Det var en succé han gärna ville upprepa.<br />
Men skulle reportrarna tro på honom den här gången? Även om<br />
han hade haft rätt förr skulle det inte gå att bara ringa upp och säga<br />
som det var. Han behövde lägga fram bevis. Skulle han våga lämna<br />
över lösenorden till någon annan? Var det ett brott att dela med sig av<br />
uppgifterna? Den här krutdurken var för stor för att inte behandlas<br />
med största varsamhet.<br />
I nästan två månader höll Dan Egerstad allting hemligt, berättade<br />
inte för någon vad han kommit över. Han fortsatte försöka ta kontakt<br />
med ambassaderna, men ingen han ringde tog honom på allvar.<br />
Någon gång ska han till och med ha avfärdats som telefonförsäljare.<br />
Till slut tappade Dan Egerstad tålamodet. Om ingen ville lyssna så<br />
fick han helt enkelt ta saken i egna händer. Att bara hålla tyst om allt<br />
var inget alternativ, så i stället började han förbereda en sajt. Dan<br />
Egerstad drog själv slutsatsen att han inte gjort någonting olagligt.<br />
Något dataintrång var det inte, för han hade ju faktiskt inte loggat<br />
in på något av kontona själv. Uppgifterna hade kommit till honom,<br />
strömmat genom hans dator på väg någon annanstans. Han hade<br />
bara gläntat på dörren för att se vad som fanns bakom den.<br />
Ändå tycktes det oansvarigt att lägga ut alltihop på webben. För att<br />
känna sig säker satte Dan Egerstad upp två regler. Dels fick 100 lösenord<br />
räcka. Det var tillräckligt många för att väcka uppmärksamhet,<br />
men ändå bara en bråkdel av alla han kommit över. Ett kort tag över-<br />
112
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
vägde han att i stället välja 1 337 stycken. Dessa siffror kan utläsas som<br />
leet, en omskrivning av »elite«. Det är ett uttryck som används mer<br />
eller mindre ironiskt på nätet, som ett berömmande ord för framstående<br />
personer eller anmärkningsvärda händelser. Dessutom skulle han<br />
utelämna alla journalister (»det handlar om källskydd och sånt«) och<br />
företag (»det ger stor skada, och de kan stämma mig«) från listan.<br />
Kvar blev myndigheter och ambassader – de som borde ha vetat<br />
bättre. Framför sig hade han nu en lista med 100 konton sorterade<br />
i fyra kolumner: Myndighetens namn, serverns adress, själva mejladressen<br />
och ett lösenord. Allt som behövdes för att komma åt mängder<br />
av topphemliga uppgifter.<br />
Publiceringen skulle ske helt öppet på den nya webbadress,<br />
www.derangedsecurity.com, som Dan Egerstad registrerat. Namnet<br />
hade dubbel betydelse. Det signalerade att hemsidan handlade om<br />
IT-säkerhet på ett lite vilt, rubbat (»deranged») sätt. Dessutom gav<br />
det en ledtråd om vem upphovsmannen var. De två första bokstäverna<br />
i domännamnet, DE för Dan Egerstad, skrevs ut versalt. I övrigt<br />
stod Malmöbons namn ingenstans på sajten.<br />
Ovanför själva listan klistrade Dan Egerstad in en text på engelska<br />
han skrivit själv. Den var tänkt som en förklaring till varför han<br />
gjorde det han gjorde.<br />
Ja, det är på riktigt och de fungerar när vi publicerar det här.<br />
Så varför i hela världen skulle någon publicera sådan här<br />
information? För att, ärligt talat, så kommer jag inte ringa<br />
Irans president och berätta att jag har tillgång till alla deras<br />
ambassader. Jag är rubbad, (»DEranged«), inte självmordsbenägen.<br />
Han har ju bomber och sånt.<br />
Det var inte en rakt igenom kaxig text som introducerade besökaren<br />
till det topphemliga materialet. Snarare är tonen ursäktande. Dan<br />
Egerstad tycktes vilja säga att det inte fanns något alternativ till det<br />
dramatiska offentliggörandet: »Erfarenheten säger mig att även om<br />
jag skulle kontakta alla på den här listan så skulle de flesta inte lyssna,<br />
113
svenska ha c k a r e<br />
eller kanske bara beskylla mig för att vara en ond <strong>hackare</strong>, och ingen<br />
annan skulle få veta om det här.«<br />
Han tog också upp möjligheten att radera informationen och gå<br />
vidare, men avfärdade den snabbt:<br />
114<br />
Jag kan inte kasta bort det, för det är bara en tidsfråga innan<br />
någon annan får tag på samma information. Eller vänta, är<br />
det någon annan som har den redan? Hur länge har de haft<br />
den? Och vad gör de med den? Att sälja uppgifterna skulle<br />
förmodligen ge mig ganska bra med pengar, men det är inte<br />
min stil och jag är säker på att folk har försvunnit för mindre<br />
än så.<br />
Jag har testat varje tänkbart scenario i mitt huvud. Det<br />
slutar alltid med mig död, i fängelse eller något ännu värre.<br />
Så åt helvete med alltihop. Här är allt du behöver för att<br />
läsa hemliga mejl och fucka upp allvarliga internationella<br />
affärer.<br />
Texten var skriven med en närmast uppgiven ton. Kanske ville Dan<br />
Egerstad visa att publiceringen var en sista åtgärd, inte ett spontant<br />
tilltag och ett ogenomtänkt sätt att få strålkastarljuset riktat mot sig<br />
själv. Däremot framgick det tydligt att Malmöbon förstod tyngden i<br />
den lista som skulle följa. »Jag skulle vilja påminna alla att det är ett<br />
allvarligt brott att använda någonting av det här«, skrev han och fortsatte,<br />
ironiskt eller inte: »Jag litar på att ingenting av detta kommer<br />
att användas, någonsin!«<br />
Han fortsatte med upplysningen om att inga lösenord fanns sparade<br />
på hårddiskar i hans lägenhet och att polisen vid en razzia bara<br />
skulle hitta en massa öl. Hårddisken där den uppsnappade informationen<br />
tidigare fanns lagrad var redan utmonterad, tömd och sönderslagen<br />
när publiceringen skedde. »Nu ska vi se hur många arga<br />
mejl jag hinner få innan Mr Bush ger mig en gratis semester till<br />
Guantanamo Bay.«<br />
Allt var färdigt. Lösenorden skulle läggas ut och hela världen skulle
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
få se vad han hade hittat. Det var tidigt på eftermiddagen torsdagen<br />
den 30 augusti 2007. Han skrev ett kort brev som skulle gå till några<br />
utvalda journalister. »Regeringar och ambassader hackade« var ämnesraden.<br />
Om 10 minuter, kl 15:15 kommer DErangedSecurity.com<br />
att publicera en lista med exakt 100 fungerande lösenord<br />
till e-postkonton för ambassader och myndigheter över hela<br />
världen. Enjoy =)<br />
//D<br />
Dan Egerstad klickade på knappen som fick brevet att gå iväg och<br />
strax därefter på en annan knapp som skickade ut listan på webben.<br />
Han lyfte händerna från tangentbordet och väntade på att telefonen<br />
skulle ringa. Trots att han inte hade skrivit ut sitt namn eller telefonnummer<br />
på sajten så var derangedsecurity.com helt öppet registrerad<br />
i hans namn. Det var en smal sak för vem som helst med grundläggande<br />
internetkunskaper att få fram hans kontaktinformation.<br />
Det skulle dröja till kvällen innan det första samtalet kom. Först<br />
vid åttatiden ringde mobilen och Dan Egerstad svarade. Direkt bekräftade<br />
han för journalisten att det var han som låg bakom publiceringen.<br />
Att dölja sin identitet skulle bara vara löjligt, menade han.<br />
Någon skulle ändå snoka upp honom. Några febrila timmar följde.<br />
Förvånade ambassadtjänstemän fick samtal från reportrar som sökte<br />
kommentarer till publiceringen. Stämde uppgifterna? Vad skulle de<br />
göra nu? »Vi vet inte. Återkom i morgon«, blev svaret. Förvirringen<br />
var total tills den första artikeln dök upp på nätet sent på kvällen mot<br />
torsdagen. 65 Det fick andra svenska medier att vakna. TT kablade ut<br />
nyheten strax efter klockan tio på kvällen under rubriken »Svensk<br />
IT-konsult hackar ambassader«. Aftonbladet fokuserade på brevet<br />
från det svenska kungahuset till Rysslands ambassad. »Hovets brev<br />
utlagt på nätet« blev rubriken. 66 Det var en sanning med modifikation,<br />
eftersom Dan Egerstad aldrig hade publicerat några brev. Däremot<br />
hade hovets artiga svar på den ryska ambassadens inbjudan till<br />
115
svenska ha c k a r e<br />
en pianokonsert dykt upp bland den brokiga massa av information<br />
som landat på Dan Egerstads hårddisk.<br />
Hela natten fortsatte samtalen till Dan Egerstads mobiltelefon.<br />
Även internationella medier uppmärksammade hans lösenordslista.<br />
Om och om igen fick han förklara varför han inte kunde ha hanterat<br />
upptäckten på något annat sätt. Uppmärksamheten är det enda skyddet,<br />
sa han: »Det räddar mig själv ur skiten.« 67<br />
Varje journalist som ringde fick svar på sina frågor. Malmö<strong>hackare</strong>n<br />
bjöd på målande citat som tidningarna sen direkt använde i sina<br />
texter. Men en sak vägrade han svara på. Inte för någon berättade han<br />
hur han kommit över uppgifterna. Han höll tyst om både Tor och<br />
om experimentet han satt igång hemma i lägenheten. Ambassaderna<br />
skulle få en ärlig chans att rätta till felet innan han släppte några detaljer.<br />
Omtänksamt, kan tyckas. Men det gjorde det också svårt för<br />
utomstående att begripa hur killen som nu dominerade medierna<br />
kunde säga att han inte hade begått något brott. Han hackade ju<br />
ambassader och skröt om det. Lösenorden var bevis nog.<br />
Men ambassadpersonalen kom inte till Dan Egerstad för hjälp,<br />
som han hade hoppats. Lokala lagar borde räcka för att ta hand om<br />
Malmöbons upptåg, lät den indiska ambassaden meddela. 68 De enda<br />
som var beredda att prata med honom var iranierna. Från ambassadens<br />
håll har det aldrig bekräftats offentligt, men Dan Egerstad hävdar<br />
bestämt att en tjänsteman från den iranska ambassaden ringde<br />
upp honom kort efter att säkerhetsluckan offentliggjordes och med<br />
artig röst bad att få veta hur det hela gått till.<br />
– Jag gav dem uppgifter om vad jag har gjort och instruktioner för<br />
hur de kan åtgärda det, sa Dan Egerstad stolt strax efteråt. 69<br />
På Dan Egerstads vid det här laget världsberömda lösenordslista<br />
fanns inte ett enda som tillhörde en svensk myndighet eller diplomatisk<br />
utpost. Dan Egerstad har aldrig velat bekräfta om detta beror på<br />
att det inte fanns några svenska lösenord i informationen som strömmade<br />
genom Tor-nätverket, eller om han för sin egen säkerhet valde<br />
bort dem när han plockade ut 100 stycken för publicering.<br />
En mycket stor del av dem gick i stället till länder i Centralasien.<br />
116
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
Till exempel fanns där inte mindre än 36 lösenord till uzbekiska ambassader<br />
och konsulat, samt ett till landets utrikesdepartement. Åtta<br />
lösenord gick till Kazakstans ambassad i Moskva. Det är därför inte<br />
förvånande att Dan Egerstads publicering snabbt nådde långt utanför<br />
Sveriges gränser.<br />
Indiens Sverigeambassad är inrymd i en större lägenhet i korsningen<br />
mellan Adolf Fredriks Kyrkogata och Drottninggatan mitt i<br />
Stockholm. Jämfört med fortet som utgör den ryska ambassaden är<br />
det ett anspråkslöst ställe. Den saffransröda, gröna och vita flaggan<br />
vajar från fasaden över Drottninggatans promenadstråk, men i övrigt<br />
är det svårt att notera att huset rymmer en diplomatisk utpost för<br />
världens näst största land. När Dan Egerstad lade ut sin lista på nätet<br />
arbetade ett 20-tal personer där inne. I de flesta av våningens rum satt<br />
minst två personer, på visumavdelningen fick fem personer trängas i<br />
ett litet rum. Någon hade haft oturen att hamna bakom en hylla i ett<br />
rum som också rymde ett improviserat kök med diskbänk och mikrovågsugn.<br />
Bara de högsta diplomaterna hade egna kontor. Där inne<br />
var möblerna, i övrigt ett hopplock som inte alltid matchade så väl,<br />
av högre klass. Det var här telefonerna började gå varma den första<br />
kvällen efter att Dan Egerstad hade publicerat sin lösenordslista.<br />
Indien är i dag en av världens främsta IT-nationer. Att döma av<br />
hur personalens datorer och mejlkonton sköttes på ambassaden var<br />
det svårt att tänka sig. En assistent var i regel den som tog hand om<br />
det tekniska. Då och då kom en man in och hjälpte till när bredbandet<br />
krånglade. Det är därför inte svårt att förstå ambassadledningens<br />
första reaktion när nyheten kom: tystnad. Frågor om mejlen hänvisades<br />
till Telia som stod för abonnemanget. Ingen information om vad<br />
som inträffat gick ut till de anställda. När ambassadtjänstemännen<br />
kom in på jobbet dagen efter publiceringen tog några av dem saken<br />
i egna händer, de lusläste alla artiklar som hade skrivits och sökte<br />
upp Dan Egerstads lösenordslista på webben. Genom att jämföra det<br />
användarnamn som fortfarande fanns ute på nätet med uppgifterna<br />
i sina egna mejlprogram kunde de dra slutsatsen att åtminstone de<br />
själva inte var drabbade. Medan det tisslades över borden fortsatte<br />
117
svenska ha c k a r e<br />
ambassadören och de högst uppsatta diplomaterna i våningen att<br />
tiga på sina arbetsrum. Inget möte hölls med den oroade personalen.<br />
Inget internt meddelande skickades ut. Över huvud taget nämnde<br />
inte cheferna det som hade hänt. Det berättar personer som vid den<br />
tiden arbetade på ambassaden.<br />
Desto mer fart blev det bakom kulisserna. Med på Dan Egerstads<br />
lista fanns bland annat konton som tillhörde det indiska försvarsdepartementet<br />
och det statligt ägda Defence Research and Development<br />
Organisation (DRDO), en av Asiens största vapentillverkare.<br />
Utåt gjordes allt för att tona ned allvaret i det som hade hänt. Kontot<br />
som fanns med på listan användes sällan, sa det indiska försvarsdepartementets<br />
företrädare till tidningen Indian Express. Men några<br />
timmar efter att nyheten nått landets tidningar hade DRDO stängt<br />
sina mejlservrar för all inkommande och utgående trafik. Det indiska<br />
utrikesdepartementet kopplade tillfälligt bort ambassadernas mejlkonton<br />
från nätet. Till indiska journalister sa företrädare för försvarsdepartementet<br />
att en grundlig utredning skulle genomföras, medan<br />
utrikesdepartementet lade locket på och vägrade att kommentera<br />
händelsen. 70<br />
Även från ryskt håll gjordes försök att tona ner de läckta lösenorden.<br />
Efter att först ha vägrat att ens medge att någonting läckt<br />
ut trädde Roman Mironov, förste ambassadsekreterare på ryska ambassaden<br />
i Stockholm, fram i svensk teve och bekräftade att uppgifterna<br />
var korrekta. Han var dock snabb med att tillägga att det rörde<br />
sig om lösenord som inte längre var aktuella. Ingenting i efterspelet<br />
ger stöd åt detta påstående. Att uppgifterna från de indiska ambassaderna<br />
var korrekta skulle snart bevisas på ett uppseendeväckande<br />
sätt. Att rysk korrespondens med det svenska hovet fanns bland den<br />
information som kunde avlyssnas bekräftades redan samma dag som<br />
lösenorden lades ut. Klart är alltså att uppgifterna ledde in på aktiva<br />
mejlkonton som ej var avsedda för någon annan än ambassadens<br />
egen personal. 71<br />
Däremot kan det läckta lösenordet redan ha bytts ut när Roman<br />
Mironov gjorde sitt uttalande. Både den indiska och den ryska am-<br />
118
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
bassaden anlitade Telia som leverantör av mejltjänster, och telejätten<br />
reagerade mycket snabbt när de fick kännedom om listan. Redan under<br />
kvällen då nyheten började spridas fick koncernsäkerhetschefen<br />
Håkan Kvarnström larm om vad som hade hänt och såg personligen<br />
till att lösenorden byttes ut. Det var enkelt gjort, men betydde inte<br />
att läckan var begriplig. Dan Egerstad hade ännu inte berättat hur<br />
han kommit över lösenorden, och på Telia förstod man ingenting.<br />
– Jag har aldrig sett någonting liknande. Det normala är att en<br />
operatör drabbas och att det rör många kunder. Det här är precis<br />
tvärt om, sa Håkan Kvarnström kort därefter. 72<br />
Flera ambassader i Washington fanns med på Dan Egerstads lista.<br />
Däremot inga lösenord till amerikanska ambassader i andra länder.<br />
Men det hindrade inte amerikanska myndigheter från att sätta ned<br />
foten. Servern där lösenordslistan hade lagts ut var belägen i Texas,<br />
i webbhotellet The Planets stora serverhall. Tidigt i september, bara<br />
dagar efter publiceringen, kopplade driftföretagets tekniker bort sidan<br />
från nätet. Strax därefter bekräftade The Planet att det skett efter<br />
påtryckningar från amerikanska myndigheter, med största sannolikhet<br />
FBI. 73 Tillslaget betydde lite för att hålla de känsliga uppgifterna<br />
borta från nätet. Listan fanns redan återpublicerad i mängder av forum<br />
och bloggar. Men påtryckningarna mot The Planet var en tydlig<br />
markering från USA:s håll. Dan Egerstads lista var sprängstoff, på tok<br />
för farlig för att ignorera.<br />
Strax efter att listan lades ut på nätet gjorde Manu Pubby, journalist<br />
vid tidningen Indian Express, just det som Dan Egerstad starkt hade<br />
avrått från. Han ville slå fast att svenskens uppgifter var korrekta och<br />
skickade därför ett mejl till Indiens ambassadör i Kina, en av de mejladresser<br />
som fanns med på listan. Därefter loggade han in med lösenordet<br />
från derangedsecurity.com och hittade sitt eget brev på ambassadörens<br />
mejlkonto. Enligt svensk lag är det ett solklart exempel på<br />
dataintrång, jämförbar med skandalen som skakade Folkpartiet inför<br />
valet 2006 då partimedlemmar loggade in på Socialdemokraternas<br />
intranät med uppgifter som kommit på vift. Men den indiska journalisten<br />
nöjde sig inte med att använda inloggningen för att bekräfta<br />
119
svenska ha c k a r e<br />
att uppgifterna på Dan Egerstads lista stämde. I sin artikel beskriver<br />
han ogenerat vilka konton han tagit sig in på och vad han hittat<br />
bland diplomaternas och tjänstemännens brev. Information om en<br />
indisk parlamentsledamots besök i Beijing. Fullständiga anteckningar<br />
från ett möte mellan en högt uppsatt indisk regeringsföreträdare<br />
och Kinas utrikesminister. Affärshandlingar, officiell korrespondens,<br />
personliga brev och telefonnummer från landets försvarsforskningsakademi<br />
och den statliga vapentillverkaren DRDO. Brev från indiska<br />
studenter som skrivit till landets ambassad i Berlin för att fråga om<br />
det är säkert för en indier att vistas i landet efter uppgifter om trakasserier<br />
mot utlänningar i Tyskland. Allt lyckades han ta del av med<br />
hjälp av Dan Egerstads uppgifter, och allt redovisades öppet i en artikel<br />
publicerad i en av landets största tidningar. 74<br />
Som försvarskorrespondent var Manu Pubby van vid att skriva<br />
om ämnen som rörde den indiska militären. Rutinmässigt lät han<br />
program bevaka en mängd källor på nätet och söka efter begrepp<br />
som tydde på att uppgifterna kunde vara någonting för honom att<br />
skriva om. Bland annat sökte programmet efter »National Defence<br />
Academy«, landets främsta utbildningssäte för officerare på väg in i<br />
det indiska försvaret. Minuter efter att Dan Egerstad hade publicerat<br />
sina uppgifter hade Manu Pubby, på andra sidan jordklotet, därför<br />
sajten uppe på sin skärm. Han kunde knappt tro det han såg framför<br />
sig. Instinktivt ville den indiska journalisten avfärda det hela som en<br />
bluff.<br />
– Så jag bestämde mig för att logga in och det jag hittade var<br />
enormt. Jag var fortfarande inte hundra procent säker så jag ringde<br />
upp ett par politiker och tjänstemän vars mejl och namn nämndes<br />
i korrespondensen. De berättade för mig att informationen stämde,<br />
berättar han för oss i en mejlintervju.<br />
Manu Pubby beskriver reaktionen timmarna efter att tidningen<br />
nått läsarna som ett ramaskri på högsta politiska nivå. På regeringens<br />
order stängdes mejlservrar hos försvars- utrikes och forskningsdepartementen<br />
ner. Flera regeringsanknytna webbplatser sveptes med av<br />
bara farten och var borta från nätet i timmar innan de kunde återstäl-<br />
120
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
las. Larm gick ut till ambassader och konsulat i hela världen. Samtidigt<br />
arbetade tekniker inom landets gränser febrilt med att få alla de<br />
läckta lösenorden utbytta och systemen säkrade.<br />
Indisk teve nappade på nyheten redan samma morgon. Tekniskt<br />
oerfarna tevejournalister kämpade med att själva testa kontona, men<br />
misslyckades och fick helt enkelt lita på uppgifterna i Indian Express.<br />
Till slut lyckades en reporter på en engelskspråkig kanal ta sig in på<br />
en av de mindre känsliga adresserna och använde det han hittade<br />
som grund för tevesändningar hela dagen. Enligt Manu Pubby ska<br />
till och med regeringens högsta säkerhetsrådgivare redan samma dag<br />
ha kopplats in och fått rapporter om det inträffade.<br />
Däremot hölls ingen politisk ledare i Indien ansvarig för läckan. Vid<br />
den här tiden var det ännu okänt vad som orsakat den, och svenskens<br />
publicering betraktades som ett säkerhetshot från en utländsk<br />
källa. Uppmärksamheten lyfte samtidigt frågan om IT-säkerhet långt<br />
upp på den politiska agendan. Landets premiärminister Manmohan<br />
Singh ska, vid offentliga framträdanden en kort tid efter att nyheten<br />
exploderade, ha nämnt vikten av att hålla digital information säker,<br />
även om han inte direkt hänvisade till Dan Egerstad eller lösenordspubliceringen.<br />
Manu Pubby klarade sig utan åtal. Indisk polis frågade<br />
aldrig ut honom om varför han utnyttjat de från Sverige läckta<br />
lösenorden. 75<br />
Nätets smutsiga undersida<br />
I den intensiva medierapporteringen kring lösenordslistan hamnade<br />
en viktig detalj snabbt i skymundan. Få journalister tog sig tid<br />
att reflektera över varför de känsliga uppgifterna hade kunnat fiskas<br />
upp ur Tor-nätet från första början. För Dan Egerstad, självutnämnd<br />
<strong>hackare</strong> och yrkesverksam säkerhetsspecialist, var den frågan det mest<br />
obegripliga av allting. Om en tjänsteman vid en myndighet i Teheran<br />
behövde läsa sin mejl när han var på resa så fanns det ingen anledning<br />
i världen att göra det via Tor. Säkra anslutningar, krypterad text,<br />
strikta regler och tekniska blockeringar kring elektronisk kommuni-<br />
121
svenska ha c k a r e<br />
kation borde vara en självklarhet på den nivån, inte minst i ett land<br />
med så mäktiga fiender som Iran. I ett sådant fall gjorde Tor, som<br />
skickade breven genom system långt bortom regeringens kontroll,<br />
ingenting alls för att öka säkerheten. Det rev snarare upp stora hål i<br />
den. Tor skyddade nämligen inte informationen som skickades över<br />
nätverket, bara vem som var avsändaren och mottagaren. Nätverket<br />
gjorde det nästintill omöjligt att avgöra vem som kommunicerade<br />
med vem. Men, vilket Dan Egerstad nu bevisat bortom allt tvivel,<br />
själva innehållet i de mejl som skickades över nätverket låg vidöppet.<br />
Därför verkade det ytterst osannolikt att personerna bakom de<br />
knäckta kontona var de som använde Tor. Varför skulle de vilja hålla<br />
sin identitet hemlig när deras egna namn och mottagarens adress<br />
enkelt kunde utläsas av till- och från-fälten i mejlen?<br />
De är bara dumma, var Dan Egerstads första tanke. De förstår inte<br />
hur Tor fungerar, begriper inte att de lämnar lösenorden och själva<br />
breven vidöppna. »Idioter.« Men känslan av att förklaringen inte var<br />
så enkel fanns kvar. Visst kunde en eller ett par personer begå det<br />
misstaget, men inte alla. Inte överallt, inte på en så hög politisk nivå<br />
och framförallt inte samtidigt. Någonstans måste det finnas en annan<br />
förklaring. 3 000 användarkonton låg sparade på Dan Egerstads<br />
hårddisk. Att så många toppdiplomater samtidigt missförstått hur<br />
anonymitetsnätverket Tor fungerade var inte möjligt.<br />
Förklaringen nådde honom som ett knytnävslag i magen. Om inte<br />
diplomaterna själva använder Tor för att logga in på sina mejlkonton<br />
så måste det vara någon annan som gör det. Det enda rimliga var<br />
att informationen han snubblat över redan kontrollerades av någon<br />
annan, någon som tog sig in på de drabbade systemen i smyg och<br />
gjorde allt för att dölja sin verkliga identitet.<br />
Med den insikten föll bitarna på plats. Informationen som landat<br />
på den unge Malmöbons hårddisk läckte inte direkt från ambassaderna<br />
utan från en annan <strong>hackare</strong>, någon som redan skaffat sig tillgång<br />
till de topphemliga lösenorden på egen hand. Någon som brutit<br />
sig in på tusentals av världens mest topphemliga datorsystem och<br />
nu gömde sig i Tor-nätverkets virrvarr av anonyma anslutningar för<br />
122
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
att tyst kunna förmedla den stulna och topphemliga informationen<br />
vidare.<br />
Dan Egerstad kände sig som en inbrottstjuv som märker att någon<br />
annan redan brutit upp ytterdörren. Tanken var svindlande. Det var<br />
någon annan som lyssnade.<br />
För en vanlig nätanvändare framstår internet som en relativt civiliserad<br />
plats. Visst stöter de flesta surfare på aggressiva kommentarer<br />
då och då. Visst kan skräppost där någon försöker kränga suspekt<br />
medicin eller potenshöjande medel vara oroväckande. Men bortsett<br />
från det, och en och annan kvällstidningslöpsedel om bedragare på<br />
Blocket, ser det mesta på webben ut att vara under kontroll. De vanliga<br />
sajterna fungerar smärtfritt och är lika väldesignade som vanligt.<br />
Det som lagras i lösenordsskyddade system framstår som låst för utomstående<br />
besökare. Det gratulationsmejl som en mormor i Borås<br />
skickar till barnbarnen i Stockholm på födelsedagen stannar mellan<br />
avsändare och mottagare. Samma sak gäller de kontouppgifter du<br />
själv skickar till din bank eller de interna företagsmejl som studsar<br />
bland PC-datorerna på din arbetsplats.<br />
När Dan Egerstad började granska det som rörde sig under ytan på<br />
Tor-nätverket var det som att vräka omkull en stenbumling i skogen.<br />
Ovansidan är torr och len, men när den vänds upp och ned blottas<br />
dess undersida, kletig av gyttja med maskar och gråsuggor. Han<br />
hade hittat ett parallellt nät byggt på en störtflod av stulna uppgifter.<br />
Vem som låg bakom det gick inte att se. Men ju mer han tänkte på<br />
det desto tydligare och mer skräckinjagande blev bilden. En massiv<br />
underjordisk databas av hackad information, stulen från diplomater,<br />
politiker och myndigheter världen över. Digitalt spionage av en sällan<br />
skådad kaliber.<br />
Teorin är i det närmaste omöjlig att bekräfta. De personer som<br />
kan tänkas använda Tor-nätet för att skicka stulen och topphemlig<br />
information fram och tillbaka över världen håller sig av förståeliga<br />
skäl så långt borta från offentlighetens ljus det bara går. Men några<br />
av reaktionerna på Dan Egerstads publicering ger ändå en antydan<br />
om att andra redan kände till luckan. Dagen efter publiceringen för-<br />
123
svenska ha c k a r e<br />
sökte journalisten Kim Zetter vid tekniktidningen Wired ta kontakt<br />
med några av de hackade kontonas ägare. Till bland andra Ken Chan<br />
på det Hong Kong-baserade forskningsinstitutet One Country Two<br />
Systems skickade hon en kort varning om vad som hade inträffat och<br />
bad om en intervju. Mellan raderna i det hånfulla men sockersöta<br />
meddelande hon fick till svar dolde sig en kuslig sanning.<br />
124<br />
from: kenloveskim@gmail.com<br />
Dear Kimsey,<br />
I really appreciate your concern for my email account.<br />
You are cute, and i love you. :) I look forward to be seeing<br />
you soon. Take care.<br />
Sincerely, Ken.<br />
Svaret hade skickats från en anonym Gmail-adress och kom alltså<br />
inte från Ken Chan själv. Ändå var det tydligt att avsändaren redan<br />
läst breven till forskaren i Hong Kong. Till och med adressen kenloveskim@gmail.com<br />
anspelade på den intervju journalisten hade<br />
bett om. Kanske hade skämtaren snabbt tagit tillfället i akt och loggat<br />
in på Ken Chans konto direkt efter att lösenordet offentliggjorts<br />
dagen innan. Kanske hade inkräktaren haft tillgång till kontot redan<br />
tidigare. 76<br />
Svarthattar och vithattar<br />
Varför valde Dan Egerstad att publicera lösenorden öppet? Enligt<br />
honom själv ville han att säkerhetsluckan skulle åtgärdas. Det skulle<br />
sannolikt aldrig ha hänt om han bara raderat informationen, försökt<br />
glömma det han snubblat över och gått vidare.<br />
Men det fanns ännu ett alternativ. Lika enkelt som att publicera<br />
listan hade det varit att utnyttja informationen för egen vinning.<br />
Rätt köpare skulle betala bra pengar för att kunna läsa mejl till och<br />
från Irans utrikesdepartement. Intern korrespondens mellan indiska<br />
försvarsutvecklare vore guld värd för en konkurrent eller vapenhand-
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
lare som gör affärer med Indien. Dessutom skulle Dan Egerstad själv<br />
enkelt ha kunnat logga in på kontona, väl skyddad med teknik som<br />
Malmö<strong>hackare</strong>n behärskade, för att själv ladda hem korrespondensen<br />
som fanns lagrad där. Om han inför kontonas ägare kunde bevisa<br />
att han laddat hem deras hemliga dokument kunde han använt<br />
denna situation för utpressning. Sådana dataintrång sker, och det blir<br />
vanligare och vanligare att <strong>hackare</strong> utnyttjar sina tekniska kunskaper<br />
för att tjäna pengar.<br />
För att förstå varför detta aldrig var aktuellt för Dan Egerstad<br />
måste man förstå en grundläggande uppdelning mellan två typer av<br />
<strong>hackare</strong>. Den första gruppen har fått sitt namn efter hjälten i vilda<br />
västern-filmer som ofta känns igen på sin vita hatt. En vithatt, eller<br />
i hackarsammanhang »white hat hacker«, begår inte brott, skadar<br />
inte någon och tjänar inte pengar på brottslighet. Därmed inte sagt<br />
att en vithatt inte är en <strong>hackare</strong>. Även dessa personer lägger sina liv<br />
på att lära sig begå intrång i datorsystem, att komma åt lösenord,<br />
information och att hitta säkerhetshål som gör att data kan läcka ut.<br />
Men till skillnad från en »black hat hacker« använder vithattarna sina<br />
kunskaper för att rätta till felen. Många av dem arbetar som säkerhetsspecialister.<br />
De anlitas för att under kontrollerade former utföra<br />
penetrationstester, verkliga intrångsförsök med syftet att upptäcka<br />
säkerhetshål. När en vithatt upptäcker en säkerhetsbrist informerar<br />
han eller hon den drabbade. Först när en lagning av säkerhetshålet<br />
finns tillgänglig släpper <strong>hackare</strong>n information om säkerhetshålet.<br />
Black hats är den totala motsatsen, <strong>hackare</strong> som fullt medvetet<br />
begår grova brott med hjälp av sina datorer. Det kan handla om storskaliga<br />
dataintrång för nöjes skull, om en samlarmani kring lösenord<br />
och hemligstämplad information. Men också om rent kommersiell<br />
verksamhet, om utpressning och industrispionage. Vissa svarthattar<br />
tycks inte vara ute efter någonting annat än uppmärksamhet kring<br />
sitt alias på nätet. Det är dessa som saboterar webbsidor och utan<br />
egentligt syfte släpper långa listor med lösenord på nätet. Sådana figurer<br />
står för en mindre del av hackarkulturen och är inte särskilt väl<br />
ansedda, varken av de svarthattar som tjänar pengar på sina intrång<br />
125
svenska ha c k a r e<br />
eller de vithattar som vill livnära sig på att täta säkerhetsluckor och<br />
förbättra säkerheten på nätet.<br />
Dan Egerstad såg sig själv som en »grey hat«, en gråhatt någonstans<br />
mitt emellan white hats och black hats. En sådan <strong>hackare</strong> har i regel<br />
samma mål som en vithatt, men är då och då beredd att tänja de juridiska<br />
gränserna för sin verksamhet. En gråhatt kan till exempel ge<br />
sig på ett datorsystem och identifiera dess luckor bara för att se till att<br />
de blir lagade. Vissa i denna hybridgrupp ser sig själva som en slags<br />
Robin Hood-typer som anser sig ha rätt att bryta mot lagar eftersom<br />
syftet är gott. Gråhatten vill väl, men vägrar att alltid hålla sig inom<br />
ramarna.<br />
Bilden av tonårs<strong>hackare</strong>n som en digital rättvisekämpe i lagens utkanter<br />
härstammar från 1980-talet, då Hollywood fick upp ögonen<br />
för den nya subkulturen och började producera filmer och teveserier<br />
med unga datorgenier i huvudrollerna. Kanske mest uppmärksammad<br />
blev filmen Wargames, som hade premiär 1983. I den går huvudpersonen<br />
David Lightman, gestaltad av Matthew Broderick, från att<br />
hacka sig in i gymnasieskolans nätverk från sitt stökiga pojkrum till<br />
att vara på vippen att starta ett kärnvapenkrig genom att bryta sig in<br />
i superdatorn WOPR. Under filmens gång jagas han av sammanbitna<br />
FBI-agenter, flyr från en hemlig militärbas i Klippiga bergen, blir<br />
ihop med skolans snyggaste tjej och räddar till slut världen från undergång.<br />
Kanske ville Dan Egerstad uppnå någonting liknande med<br />
sin publicering. Han ville bli en hjälte, <strong>hackare</strong>n som räddar världen<br />
från de illvilliga skurkar som gömmer sig i nätets bakvatten.<br />
Det och mycket annat i Dan Egerstads berättelse skiljer honom<br />
från andra <strong>hackare</strong>. Ofta drivs de av en vilja att utforska och nästla<br />
sig in på platser där de inte är välkomna. I den mån de är intresserade<br />
av att dra uppmärksamhet till sig så görs detta ofrånkomligen<br />
till deras alter egon på nätet, aldrig deras verkliga personer. Dan<br />
Egerstad råkade bara snubbla över en säkerhetslucka som av allt att<br />
döma redan användes av någon annan. Han ville få ambassadernas<br />
mejlkonton säkrade – klassiskt white hat-beteende – och betonade<br />
om och om igen att han inte själv hackat något system för att komma<br />
126
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
över uppgifterna. Samtidigt drevs han av en uppenbar lust att dra<br />
uppmärksamhet till sig själv och sin professionella verksamhet som<br />
IT-konsult. Därav beslutet att öppet lägga ut de uppgifter han kommit<br />
över på en webbsida, registrerad i sitt eget namn. Det är om inte<br />
kriminellt så åtminstone ett mycket kontroversiellt beteende – och<br />
typiskt för en grey hat. Dan Egerstad ställer sig inte helt på de präktigt<br />
laglydigas sida. Men inte heller vill han kopplas ihop med de<br />
direkt kriminella. Han befinner sig i gråzonen mellan dem och kan<br />
därmed hamna i konflikt med båda sidorna.<br />
När den första uppståndelsen hade lagt sig började svenska tidningar<br />
fråga etablerade experter vid de stora IT-säkerhetsbolagen om<br />
det verkligen var så smart att ge vem som helst tillgång till 100 topphemliga<br />
mejlkonton. Svaret blev, föga förvånande, nej.<br />
– Man kan tänka att starka politiska krafter kan använda det här<br />
i fel syfte, sa Per Hellqvist, säkerhetsexpert vid antivirusföretaget Symantec,<br />
och fick medhåll av flera kollegor. 77<br />
Efter våra intervjuer har vissa av Sveriges mest namnkunniga experter<br />
på IT-säkerhet uttryckt sig i nästan beundrande ordalag om<br />
Dan Egerstads bedrifter. Men i offentliga uttalanden var kritiken<br />
mot den unge säkerhetskonsulten stundtals mycket hård. Det gällde<br />
inte själva avslöjandet, även om det kan sägas ha kommit till genom<br />
en form av avlyssning. Det som rörde upp känslorna var att Dan<br />
Egerstad lagt ut sin lösenordslista öppet på nätet. Det var oansvarigt<br />
och helt enkelt för farligt, hette det.<br />
Dan Egerstad försvarade sig alltid genom att berätta om hur många<br />
ambassader han försökt ringa utan att få någon uppmärksamhet för<br />
sin upptäckt. Men faktum kvarstod: Det räckte med att något av de<br />
100 lösenorden fortsatte fungera några minuter efter att han hade lagt<br />
ut dem på nätet så kunde vem som helst komma över stora mängder<br />
topphemlig information. Tid är en närmast obetydlig variabel här.<br />
Att logga in och ladda hem flera års lagrade mejl går mycket fort om<br />
angriparen sitter vid en snabb uppkoppling.<br />
Samtidigt utsattes Dan Egerstad för någonting som närmast liknade<br />
en hatkampanj från andra hackargrupper. I kommentarer på<br />
127
svenska ha c k a r e<br />
nätet utmålades han som en uppmärksamhetstörstande nybörjare.<br />
Han gjorde det »för egen vinning, inget annat«, skrev någon. »I<br />
denna värld är cred och respekt allt. Först utföra gärningen för att<br />
sedan hävda att detta gjordes för att ›rädda världen‹ från alla onda<br />
hackers. Dubbelmoral!« 78 När någon under julhelgen 2007 tog sig in<br />
på servern där fotbollsklubben IFK Göteborgs hemsida fanns lagrad<br />
så tillägnades hacket »Dan Egertard«, en hånfull lek med Dan Egerstads<br />
namn och det engelska ordet för efterbliven, retard. »Hoppas<br />
du brinner i helvetet«, var hackarnas hälsning till honom.<br />
Det fanns flera anledningar till att glåporden började hagla. Först<br />
och främst var Dan Egerstad sannolikt inte den första som upptäckt<br />
hur många topphemliga lösenord man enkelt kunde fiska upp ur Tornätverket<br />
– bara den första som bestämt sig för att prata om det offentligt.<br />
Det stora anonymiseringsnätverket kan ha varit en källa för<br />
insatta personer att ösa hemlig information ur under lång tid. Nu, när<br />
storföretag och ambassader febrilt undersökte sin egen IT-säkerhet i<br />
kölvattnet av Malmökillens publicering, fanns en risk att lösenordsfloden<br />
började sina. Stämmer det att inloggningarna Dan Egerstad<br />
såg inte var ambassadtjänstemän som läste sin mejl på ett klumpigt<br />
sätt utan andra <strong>hackare</strong> som utnyttjade Tor för att slussa hemligheter<br />
fram och tillbaka så sätter det händelsen i ett helt nytt ljus.<br />
Men det som kanske stack mest i ögonen var den häpnadsväckande<br />
uppmärksamhet den unga killen från Malmö fick från tidningar<br />
och debattörer över hela världen. Hans namn dök upp i nyhetsflödet<br />
från stora, internationella tidningar som Washington Post. I Australien<br />
tryckte en av Sydneys största tidningar en artikel som närmast<br />
kan beskrivas som ett idolporträtt under rubriken »The Hack of the<br />
Year«. Tidningen Wired bevakade utvecklingen i detalj. Sådan uppmärksamhet<br />
är drömmen för den som försöker skapa sig ett namn<br />
inom IT-säkerhet och få fler välbetalda uppdrag. Dan Egerstad ställde<br />
upp på intervjuer från alla håll, hade alltid en dramatisk one-liner<br />
på lager och eldade på uppmärksamheten om det han hade gjort.<br />
Etablerade säkerhetsföretag försöker göra samma sak hela tiden. Med<br />
jämna mellanrum släpper de rapporter och pressmeddelanden som<br />
128
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
berättar om hoten på nätet och om hur bedragarna blir alltmer sofistikerade<br />
i sina metoder för att lura vanliga användare. Då och då får<br />
de en journalist att nappa, men ingen av dem har varit i närheten av<br />
den mediala bomb som Dan Egerstad skapade. Hans egen baktanke<br />
var inte svår att se. Uppståndelsen skulle göra honom till en stjärna,<br />
uppdragen skulle ramla in och fakturorna han skickade sina kunder<br />
skulle bli allt fetare.<br />
Dessutom visade Dan Egerstad aldrig minsta tvekan över att det<br />
han gjort varit rätt. På alla bilder från den här tiden, och det är en<br />
hel del, visar han antingen upp ett leende eller en fokuserad, skärpt<br />
blick. Det går knappt att hitta ett enda citat där han vacklar eller<br />
verkar rädd för det händelseförlopp han dragit igång. Med strålkastarljuset<br />
rakt i ansiktet växte han, och arbetade hårt för att få vara<br />
kvar på scenen i några minuter till. Kanske stämmer Dan Egerstads<br />
egen berättelse – publiceringen var noga genomtänkt och skedde i<br />
brist på andra alternativ. Men för många bar den unge IT-konsultens<br />
självsäkra leende en bismak av hybris. Han verkade se sig själv som<br />
osårbar, trots den juridiska gråzon han försatt sig själv i med hjälp av<br />
lösenordslistan.<br />
Karusellen fortsatte när Dan Egerstad, en och en halv vecka efter<br />
att lösenordslistan först publicerats, gick ut och avslöjade hur han<br />
hade kommit över allt ihop. Att det var just via Tor-nätet han hade<br />
upptäckt lösenorden hade Dan Egerstad inte berättat tidigare. Själv<br />
menar han i efterhand att det var för att ge ambassaderna en chans<br />
att rätta till felet först. Men beslutet att hålla på de kanske smaskigaste<br />
uppgifterna i hela historien, själva förklaringen till hur han gått<br />
tillväga, kan också ses som ett medvetet försök att hålla medierna på<br />
halster. Det nya avslöjandet gav mycket riktigt tidningarna ännu en<br />
berättelse att rapportera om, och återigen riktades ljuset mot Malmökillen.<br />
Samtidigt som stora delar av IT-världen slog volter av upphetsning<br />
över Dan Egerstads publicering fanns det en man som svor högt av<br />
irritation. Hans namn var Roger Dingledine, och det var han som<br />
hade skapat Tor-nätet. Roger Dingledine är en legendar i vissa kret-<br />
129
svenska ha c k a r e<br />
sar. I sex år har han varit Tor-projektets chef och förgrundsfigur, och<br />
en återkommande gästföreläsare vid konferenser runt om i världen.<br />
Bland tekniker och foliehattar är han en hjälte, mannen som vigt sitt<br />
liv åt att skydda vårt privatliv på nätet. Men utanför de inbitnas skara<br />
är han i det närmaste helt okänd. Kanske beror det på hans framtoning.<br />
Vid första anblick ser Roger Dingledine ut som en karikatyr<br />
av en datornörd, med långt stripigt hår uppsatt i en tofs och tjocka,<br />
runda glasögon. Han går ofta klädd jeans, med en sliten ryggsäck<br />
över ena axeln och en illgrön t-shirt med en stiliserad Tor-logga över<br />
bröstet. När han pratar blandar han avancerade tekniska uttryck med<br />
intern hackarhumor och teknikerslang. För de som hänger med är<br />
han både underhållande och insiktsfull. För utomstående är han obskyr<br />
och svårbegriplig.<br />
Runt om i världen pratades det efter Dan Egerstads avslöjande<br />
mer om Tor än någonsin tidigare. Men i uppståndelsen framstod<br />
Roger Dingledines skapelse som ett ljusskyggt nät för spioner och<br />
gangsters snarare än ett verktyg för att göra världen bättre. Syftet med<br />
Tor var och hade alltid varit att underlätta anonym kommunikation,<br />
oavsett vilken typ av kommunikation det rörde sig om. Roger Dingledine<br />
visste mycket väl att hans skapelse inte kunde skilja på stulna<br />
e-postlösenord, hemlig kommunikation mellan näringslivstoppar eller<br />
känslig information som smugglades ut ur Kina av politiska dissidenter.<br />
Allt var bara information, ettor och nollor som behandlades<br />
likadant av tekniken oavsett vad de bar med sig för innebörd. Roger<br />
Dingledine visste också att den säkerhetslucka Dan Egerstad hade<br />
påvisat egentligen inte hade någonting med ett fel i Tor-nätet att<br />
göra. Att informationen i den trafik som slussades genom nätet kunde<br />
avlyssnas hade varit känt sedan starten. Det var just därför Roger<br />
Dingledine själv alltid påpekade att Tor var till för anonymisering,<br />
inte kryptering. Nätet gjorde det möjligt att dölja din plats på jorden<br />
men gjorde ingenting för att skydda innehållet i den information du<br />
skickade genom det. Tor-organisationen varnade sedan flera år tillbaka<br />
för just den typ av läckor som Dan Egerstad nu påvisat, via både<br />
sin webbplats och de instruktionsfiler som hörde nätverket till.<br />
130
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
Men allt det var som bortblåst med Dan Egerstads beryktade lösenordslista<br />
på bordet. Runt om i världen gjorde nu representanter<br />
från Tor allt de kunde för att svara på frågor och bemöta kritik mot<br />
nätverket i forum, bloggar och chattkanaler. På många håll utmålades<br />
Tor som skurken i dramat, trots att nätverket självt inte bar skulden<br />
till det Dan Egerstads avslöjat. För Roger Dingledine var det tydligt<br />
att förtroendet för hans livsverk nu riskerade att bli rejält tilltufsat,<br />
helt i onödan.<br />
När vi träffar Roger Dingledine ett par år senare minns han fortfarande<br />
den uppmärksammade lösenordslistan tydligt. Han är på plats<br />
i Stockholm för att föreläsa om Tor på Internetdagarna, en konferens<br />
för den svenska webb- och internetbranschen. När vi ställer frågor<br />
om Dan Egerstad så spar han inte på krutet.<br />
– Det var någon tidning som utsåg honom till »the hacker of the<br />
year«, vilket känns väldigt märkligt. Det jag minns är att han aldrig,<br />
inte en endaste gång, tog kontakt med oss för att berätta vad han<br />
hade hittat. I mina ögon var han inte ute efter någonting annat än<br />
uppmärksamhet, säger Roger Dingledine.<br />
Hade Dan Egerstad velat förbättra Tor-nätet hade det varit en enkel<br />
match att ta kontakt med organisationens representanter, menar<br />
Roger Dingledine.<br />
– Jag vet fortfarande inte varför han valde att publicera. Det enda<br />
jag vet är att syftet inte var att göra Tor säkrare. Då hade han bara<br />
behövt höra av sig, säger han.<br />
Dan Egerstad försvarar sitt avslöjande med att det hjälpte till att<br />
täta en allvarlig säkerhetsbrist. Roger Dingledine håller inte med.<br />
Resultatet av publiceringen var inte ett säkrare internet utan att Tor<br />
smutskastades utan anledning, menar han.<br />
– Visst, allt som får folk att börja fundera över de här frågorna är<br />
bra. Men det handlar också om hur man väljer att vinkla det. Mycket<br />
av det som skrevs efter det handlade om att Tor gjort fel och det stämmer<br />
inte alls. Folk fick fel bild av vad Tor är och vill vara, säger han.<br />
– Jag har också hört talas om hemliga nätverk där spioner och<br />
gangsters byter hemligheter med varandra. Men det betyder inte att<br />
131
svenska ha c k a r e<br />
de använder sig av Tor. Vi är en liten organisation som finansieras av<br />
donationer. Om maffian eller underrättelsetjänsten vill kommunicera<br />
anonymt så har de oändligt mycket större resurser än vad vi har.<br />
De har förmodligen redan byggt långt mer avancerade system än Tor<br />
som varken du eller jag känner till, fortsätter Roger Dingledine.<br />
Men den stora frågan kvarstår. Vad var det egentligen Dan Egerstad<br />
hittade djupt begravet i Tor-nätets gytter av anonym trafik? Vi<br />
måste fråga två gånger innan Roger Dingledine medger att han inte<br />
har något svar. Exakt vad som sker i Tor-nätets virrvar av anslutningar<br />
vet ingen, inte ens dess upphovsman och skapare.<br />
– Det är omöjligt att svara på. Jag vet faktiskt inte, säger Roger<br />
Dingledine. 79<br />
Ytterligare en som fick upp ögonen för historien om den svenska<br />
ambassad<strong>hackare</strong>n var amerikanen Hugh Thompson. Han är något<br />
så ovanligt som en talkshowstjärna i bästa Jay Leno-stil, men med<br />
ett program som helt och hållet handlar om datorer och IT. Programmet<br />
The Hugh Thompson Show, komplett med eget husband<br />
och entusiastisk studiopublik, sänds varje vecka på den amerikanska<br />
jätteoperatören AT&T:s webbsända tevekanal Tech Channel. Med<br />
sin begynnande flint och sina tunnbågade glasögon fyller Hugh<br />
Thompson rutan väl, med vilt gestikulerande och ett excentriskt<br />
högt röstläge.<br />
I oktober 2007 var Dan Egerstad gäst i programmet. Han hade<br />
fått frågan att resa till New York och medverka i programmet när<br />
han fortfarande satt hemma i Malmö. Han tackade ja direkt. Visst<br />
var han medveten om att det inte var riskfritt för honom att åka utomlands.<br />
<strong>Svenska</strong> myndigheter hade ännu inte visat några tecken på<br />
att inleda en rättssak mot honom, men andra länder kunde mycket<br />
väl betrakta hans lösenordslista som en allvarlig säkerhetsrisk. Det<br />
framgick inte minst av hur snabbt USA agerat för att få webbservern<br />
med lösenorden bortkopplad från nätet.<br />
Men lockelsen var för stor. Dan Egerstad packade sin väska och<br />
gick ombord på flyget till New York. Inga agenter väntade på honom<br />
vid gränsen och han släpptes in. Kanske var det först när han kom<br />
132
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
till studion på Manhattan som han insåg vilken uppståndelse hans<br />
publicering hade väckt på andra sidan Atlanten. Hugh Thompsons<br />
husband hade skrivit en låttext till hans ära som sjöngs medan han<br />
till publikens applåder gick in på scenen och skakade hand med programledaren.<br />
De få kritiska frågor han fick framstod som pliktskyldigt<br />
ställda. Här var Dan Egerstad en stjärna, någon som överlistat<br />
världens säkerhetstjänster och öppet redovisade vem han var, vad han<br />
hade gjort och varför. Än en gång upprepade han svaren han gett så<br />
många gånger förr. Nej, han hade inte brutit mot några lagar. Ja, han<br />
ville bara få säkerhetshålet lagat. Hugh Thompsons entusiasm visste<br />
inga gränser. Dan Egerstad hyllades och ställde till och med upp och<br />
dansade till husbandets toner när eftertexterna rullade. När kamerorna<br />
hade stängts av följde svensken med programledaren för att äta<br />
middag. En hel grupp veteraner inom amerikansk IT-säkerhet hade<br />
samlats kring bordet. Dan Egerstad fick skaka hand med några av<br />
sina idoler och hela kvällen filosoferade de kring säkerhetsluckan han<br />
hittat. Här fick han stöd för sin tanke att det uppgifterna han hade<br />
hittat redan var stulna. »Det här är inte legitima inloggningar. Det<br />
kan inte vara det«, minns han att en av de närvarande sa.<br />
Det var en belåten Dan Egerstad som återvände hem till Malmö<br />
efter USA-resan. Kuppen såg ut att ha lyckats. Han hade blivit en<br />
världsberömd mäster<strong>hackare</strong>. Regeringar och storföretag över hela<br />
världen hade fått byxorna nerdragna av en tidigare okänd svensk ITkonsult.<br />
Lyckoruset varade till måndagen den 12 november, när han<br />
en kylig höstmorgon gick ner på gatan för att parkera om bilen.<br />
Tillslaget<br />
Fortfarande yrvaken klev Dan Egerstad ner för trapporna knappt<br />
påklädd. Hans ljusa kalufs stod på ända och han försökte gnugga<br />
tröttheten ur ögonen. Som vanligt hade han blivit sittande framför<br />
datorskärmens ljus långt in på småtimmarna. Det var bilen som stod<br />
felparkerad och behövde flyttas senast klockan åtta. Så snart det var<br />
klart kunde han gå upp igen och somna om.<br />
133
svenska ha c k a r e<br />
När han öppnade porten möttes han av fem civilklädda poliser<br />
med allvarliga miner.<br />
– Dan Egerstad? frågade en av dem. Malmökillen nickade förvånat<br />
till svar.<br />
Varför polisen valde att slå till mot <strong>hackare</strong>n först mer än två månader<br />
efter att han lagt ut lösenorden är ett mysterium. Om och om<br />
igen hade han helt öppet berättat vad han hade gjort och inte en<br />
enda gång hade han gjort någonting för att dölja sin identitet. Alla<br />
fakta fanns på bordet. Det enda rättsväsendet behövde göra var att slå<br />
fast om publiceringen kunde klassas som ett brott – eller en legitim<br />
åtgärd för att förbättra säkerheten på nätet. Men nu, två månader<br />
senare, stod de där utanför Dan Egerstads dörr och krävde att få söka<br />
igenom hans lägenhet.<br />
Poliserna kom inte från Malmöpolisen, i stället hade de fem poliserna<br />
kört ner till Malmö ända från Rikskriminalpolisens IT-brottssektion<br />
i Stockholm. Den centrala polismakten tar ibland hand om<br />
utredningar ute i landet som är så tekniskt avancerade att specialistkunskap<br />
behövs för att utreda dem. Dessutom hamnar grov organiserad<br />
brottslighet i regel i Rikskriminalens knä, liksom fall som är<br />
svåra att placera rent geografiskt. Till exempel när brottsplatsen kan<br />
sägas vara »på internet«.<br />
Men kopplingen till andra länders regeringar och ambassader –<br />
»främmande makt« som det kallas – gjorde också att den svenska<br />
polisen kopplade in Säkerhetspolisen. Minst en av de fem personerna<br />
utanför Dan Egerstads port den där novembermorgonen var<br />
en agent från Säpo. Samma personer följde med till polisstationen<br />
och deltog senare vid förhöret med Malmökillen. 80 Säpo lade dock<br />
locket på och vägrar än i dag bekräfta att de var delaktiga i utredningen.<br />
Dan Egerstad fick lämna ifrån sig nycklarna till sin lägenhet. Han<br />
fördes till en civil polisbil, placerades i baksätet och kördes till polisstationen<br />
för utfrågning. Samtidigt började de kvarvarande poliserna<br />
gå igenom hans hem. De sökte efter datorutrustning, allt som kunde<br />
innehålla information om hur ynglingen använt det hackade mate-<br />
134
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
rialet. Hade han samarbetat med någon? Vem hade fått se de läckta<br />
uppgifterna först? Arbetade han på någons uppdrag?<br />
Att hitta datorer i lägenheten var ingen utmaning. Dan Egerstads<br />
hem var fullt av teknisk utrustning. Där fanns externa lagringsenheter,<br />
en dator kopplad till teven som mest användes för att visa film<br />
och en bärbar arbetsdator. Intryckt i ett elskåp hittade poliserna en<br />
server med inte mindre än åtta hårddiskar. Systematiskt samlade poliserna<br />
in allt av intresse de kunde hitta i lägenheten. Utrustningen<br />
lastades i bilar och kördes tvärs genom Sverige till IT-brottsektionens<br />
lokaler i polishuset på Kungsholmen i Stockholm. Där kopierades<br />
innehållet på samtliga hårddiskar för att säkra bevis till en framtida<br />
rättegång.<br />
Dan Egerstads puls steg när polisbilen svängde in framför polisens<br />
tegelbyggnad i centrala Malmö. Ända sedan han tog beslutet att<br />
lägga ut lösenorden på nätet hade han vetat att det här skulle kunna<br />
hända. Samtidig var han fast i sin övertygelse: det var inget brott han<br />
begått. Lösenorden hade tryckts in på hans dator av andra. Han hade<br />
inte hackat något system, inte stulit någon information. Ändå satt<br />
han snart i ett av polisens förhörsrum och fick fråga efter fråga om<br />
vad han hade gjort och i vilket syfte.<br />
Inga av de utredare som var närvarande vid förhöret har i efterhand<br />
velat kommentera vad som sades. Men Dan Egerstads egen berättelse<br />
målar upp bilden av att poliserna gång på gång försökte bevisa att<br />
han själv hade loggat in på kontona, något han genom hela processen<br />
förnekat att han gjort. Det hade i sånt fall varit ett solklart fall av<br />
dataintrång, straffbart med upp till två års fängelse enligt svensk lag.<br />
Kanske hade det även räckt för att få den unge Malmöbon åtalad i<br />
något av de andra länder vars ambassader fanns med på lösenordslistan.<br />
På bordet i förhörsrummet låg utskrifter av sådant som Dan<br />
Egerstad hade publicerat på webben. Han fick, dokument för dokument,<br />
bekräfta att han var upphovsmannen bakom dem.<br />
Dan Egerstad har alltid hävdat att minst en av personerna från<br />
Säpo var närvarande vid förhöret, något som bekräftas av våra källor<br />
inom polisen. Frågorna Säpoagenten ställde vid förhöret ska ha<br />
135
svenska ha c k a r e<br />
visat på betydligt större kunskap om datorer och teknik än de från<br />
den vanliga polisen, enligt Dan Egerstad. De rörde specifika tekniska<br />
detaljer om vilka program han använt och hur lösenorden hade filtrerats<br />
fram ur den gigantiska datamassa som passerade genom servrarna<br />
i Tor-nätverket. Hur många servrar hade Dan Egerstad använt<br />
sig av? Vem hade hjälpt till med servrarna i USA och i andra länder?<br />
Själva ska Säpoutredarna ha varit mycket hemlighetsfulla, har Dan<br />
Egerstad berättat.<br />
– Vem är du? frågade han vid ett tillfälle en av de Säpoagenter som<br />
fanns med i förhörsrummet.<br />
– Du kan kalla mig Micke, blev svaret.<br />
Drygt två timmar senare var förhöret över och Dan Egerstad<br />
släpptes. Han lämnade förshörrummet, gick ut genom portarna på<br />
polisstationen och vandrade långsamt söderut genom Malmö. Det<br />
var kallt ute. Jackan hade Dan Egerstad glömt hemma. Han huttrade<br />
i den fuktiga novemberluften och höll armarna tätt inpå kroppen<br />
för att hålla värmen uppe. Väl hemma fann han en lägenhet<br />
barskrapad på teknik. Alla datorer och lagringsenheter som polisen<br />
hade kunnat hitta var bortplockade, inte ens Dan Egerstads arbetsdator<br />
fanns kvar.<br />
Hade hela situationen vält över ända? I ett slag hade hjälten som<br />
utmålats som godhjärtad och djärv <strong>hackare</strong> blivit föremål för allvarliga<br />
brottsanklagelser. Han stod utan datorer och hade blivit av med<br />
viktiga företagsdokument som han förvarat i lägenheten. Nu återstod<br />
bara att vänta på att rättsväsendet skulle tröska hans fall genom byråkratin.<br />
Ville det sig illa väntade ett fängelsestraff runt hörnet.<br />
Under dagarna som följde skulle medierna återigen fyllas av nyheter<br />
om ambassad<strong>hackare</strong>n. Reportern vid Sydney Morning Herald i<br />
Australien, han som utmålat Dan Egerstad som årets <strong>hackare</strong> bara<br />
några dagar tidigare, fick nu i hast skriva en ny text. Även från USA<br />
hörde reportrar av sig och <strong>hackare</strong>n fick ännu en gång tala ut om vad<br />
som inträffat. Men sedan uppståndelsen kring razzian lagt sig blev<br />
det tyst. De kommande åren hölls några ytterligare förhör. Förundersökningen<br />
flyttades runt mellan olika utredare hos polisen.<br />
136
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
När poliserna gick igenom datorerna de beslagtagit i Dan Egerstads<br />
lägenhet dök ett nytt namn upp i förundersökningen. Fidde<br />
Arasimowicz, en muskulös Malmökille med rakat huvud och en örn<br />
tatuerad på bröstet. Dessutom en god vän till den brottsmisstänkte<br />
<strong>hackare</strong>n. I en loggad konversation på en av Dan Egerstads datorer<br />
kunde poliserna se hur Fidde Arasimowicz hade skickat över ett dokument<br />
med rubriken Operation Barnamord. Texten beskrev i detalj<br />
hur en terrorist skulle gå till väga för att döda varje barn i hela Halmstad,<br />
en slags manual för ett gigantiskt blodbad. Föga förvånande<br />
höjde poliserna på ögonen.<br />
Våren 2009 fick Fidde Arasimowicz ett samtal han inte hade väntat<br />
sig. En polisman ringde och meddelade barskt att han skulle infinna<br />
sig vid ett förhör. De hade hittat någonting som kunde vara besvärande<br />
för honom. På plats vid polisstationen i Karlskrona, vid ett bord<br />
med en polis från Rikskrim i Stockholm och en tystlåten Säpoagent,<br />
fick han veta vad det gällde. Fidde Arasimowicz kunde dock förklara<br />
sig. För polisen berättade han att han inte bara var intresserad av tatueringar<br />
och att lyfta skrot. Han var även blivande yrkesofficer, stationerad<br />
vid Blekinge flygflottilj utanför Ronneby. Dokumentet med<br />
rubriken Operation Barnamord hade han skrivit på Militärhögskolan<br />
i Halmstad, som en studie för att lära sig militärteoretisk strategi<br />
bortom den väster- och österländska konventionella bilden. Texten<br />
var inte på något vis hemligstämplad, och han såg ingenting konstigt<br />
i att visa den för en kompis över nätet.<br />
– Taget ur sitt sammanhang ser det rätt illa ut när man läser ett<br />
sådant dokument från Försvarsmakten. Det är ju en utbildning i hur<br />
exempelvis terrorister kan tänka. Vi skulle agera på ett icke-konventionellt<br />
sätt för att vända på det västerländska tankesättet och redovisa<br />
det i orderform. Tyvärr så förekommer sådant i verkligheten,<br />
berättar han för oss.<br />
Polismannen fortsatte med sina frågor medan mannen från Säpo<br />
teg. Loggfilerna de hittat hos Dan Egerstad visade också att de två<br />
hade chattat om Tor och om hur Dan Egerstad hade kommit över<br />
sina uppgifter. Fidde Arasimowicz svarade på deras frågor och beto-<br />
137
svenska ha c k a r e<br />
nade att han inte hade någonting med uppgifterna som Dan Egerstad<br />
plockat ur Tor att göra. Det var bara ännu ett samtalsämne bland<br />
många, två vänner emellan. Efter en knapp timme var poliserna nöjda.<br />
Fidde Arasimowicz fick veta att han inte var misstänkt för någonting,<br />
lämnade förhörslokalen och hörde aldrig av dem igen. 81<br />
Dan Egerstad har ännu inte fått tillbaka den utrustning som polisen<br />
beslagtod vid tillslaget mot hans lägenhet. I skrivande stund har<br />
fortfarande inget åtal väckts. Det är inte särskilt förvånande eftersom<br />
Dan Egerstads publicering sätter frågan om dataintrång på sin spets.<br />
Kan man göra intrång i sin egen dator? Lösenorden hade ju strömmat<br />
in där av sig själva, visserligen som små strängar i en gigantisk<br />
informationsflod, men ändå utan att han tagit över något system eller<br />
brutit sig in där han inte var välkommen. Var det kriminellt att använda<br />
program för att filtrera information som ändå flödade genom<br />
den egna datorn för att få fram det mest intressanta?<br />
Svensk lag beskriver dataintrång som en handling där någon »olovligen<br />
bereder sig tillgång till en uppgift som är avsedd för automatiserad<br />
behandling«. Är det olovligt att rota i sådant som skickas till<br />
en utan att man ber om det? Borde Dan Egerstad ha förstått att<br />
lösenorden fanns där för att någon annan redan hade stulit dem,<br />
och bröt han därför mot lagen när han befattade sig med stulet, om<br />
än digitalt, gods? Eller är det själva publiceringen, som mycket väl<br />
kunde hjälpa andra – kanske någon med mer illasinnade avsikter än<br />
han själv – att logga in och läsa diplomaters brev, som är olaglig?<br />
En uppfattning bland utredarna var att kammaråklagare Håkan<br />
Roswall, berömd inte minst från rättegången mot The Pirate Bay,<br />
inte själv var säker när han bestämde sig för att inleda en förundersökning.<br />
Två och ett halvt år efter tillslaget mot Dan Egerstads<br />
lägenhet har inget åtal väckts.<br />
Spionringen och spöknätet<br />
Fingrar på ett tangentbord någonstans i världen skriver in ett stulet<br />
lösenord. En signal skickas iväg över internet, via hundratals sam-<br />
138
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
mankopplade datorer och genom kablar som sträcker sig flera varv<br />
runt jorden innan den når sitt mål. Personen vid tangentbordet får<br />
tillgång till det knäckta mejlkontots innehåll. Allt sker via Tor, ett<br />
enormt nätverkt byggt för anonym kommunikation. Både det stulna<br />
lösenordet och innehållet i den knäckta mejlboxen kan läsas av någon<br />
med tillräcklig kunskap om hur internet fungerar. Men vems<br />
fingrar det är som smattrar över tangentbordet på andra sidan jorden<br />
går inte att slå fast. Användarens identitet är omöjlig att urskilja i<br />
Tor-nätverkets världsomspännande snårskog av anslutningar.<br />
Med största sannolikhet var det en serie av sådana händelser som<br />
Dan Egerstad snubblade över när han kopplade upp sina datorer för<br />
att avlyssna informationen som strömmade genom Tor. I dag ifrågasätter<br />
få att de lösenord som strömmade genom hans dator redan<br />
var stulna och utnyttjades av någon annan. Men en enorm fråga står<br />
fortfarande obesvarad: Vem var det som använde de stulna uppgifterna<br />
för att logga in på knäckta konton? Att enstaka lösenord kommer<br />
på avvägar är ingenting ovanligt. Men Dan Egerstad fiskade upp<br />
enorma mängder stulen information ur anonymiseringsnätverket. På<br />
kort tid fick hans program tag på flera tusen lösenord till topphemliga<br />
konton. Det är mycket osannolikt att enskilda individer hade<br />
letat upp dem och nu läste brev till Irans utrikesdepartement och den<br />
indiska försvarshögskolan för sitt eget nöjes skull. Omfattningen av<br />
Dan Egerstads upptäckt tyder på en enorm, systematisk och världsomspännande<br />
avlyssningsapparat som kontrollerades av någon eller<br />
några med betydligt mindre oskyldiga syften än experimentlusta och<br />
teknikintresse.<br />
I mars 2009 avslöjades just en sådan spionring, vilket gav en hisnande<br />
inblick i en av internets mörkaste hörn. En grupp forskare vid<br />
universitetet i kanadensiska Toronto offentliggjorde då en rapport<br />
om vad de kallade för GhostNet, spöknätet. Utredningen som ledde<br />
fram till avslöjandet hade inletts efter uppgifter från Dalai Lamas<br />
stab om att deras datorer betedde sig märkligt. Det är inte förvånande<br />
att hans exilregering är vaksam på tecken som tyder på att den<br />
övervakas. Som det självständighetssträvande Tibets andlige ledare<br />
139
svenska ha c k a r e<br />
ses Dalai Lama som en fiende av regimen i Beijing. Sedan 1959 lever<br />
han i exil i norra Indien. Ännu på 2000-talet är striden mellan Kinas<br />
krav på kontroll av Tibet och tibetanernas vilja till självstyre en högst<br />
levande konflikt.<br />
De kanadensiska forskarna kunde snart slå fast att tibetanernas<br />
datorer hade infekterats av ett spionprogram som kallas Gh0st Rat,<br />
där Rat står för Remote Administration Tool. Det kan låta oskyldigt,<br />
men installerat på en dator mot ägarens vilja är det ett kraftfullt verktyg<br />
för avancerad avlyssning. Gh0st Rat kan spela in varje tangentbordstryckning,<br />
öppna datorns hela hårddisk för utomstående eller<br />
starta webbkameror och mikrofoner för inspelning – och skicka resultatet<br />
till angriparen som på tryggt avstånd kan luta sig tillbaka och<br />
se vad som händer framför den hackade datorn. I fiktionens värld<br />
har programmet en berömd motsvarighet. Funktionerna är närmast<br />
identiska med Asphyxia, mjukvaran som Stieg Larssons hjältinna<br />
Lisbeth Salander använder för att ta över sina offers datorer i Millenniumtrilogin.<br />
Upptäckten på tibetanernas datorer var sensationell,<br />
inte minst med tanke på att de flesta av servrarna som spionprogrammet<br />
rapporterade till låg i Kina.<br />
Men det slutade inte där. I tio månader kartlade forskarna i Toronto<br />
hur programmet spridits över världen innan de släppte sin rapport.<br />
Minst 1 295 datorer i 103 länder hade infekterats och kunde<br />
avlyssnas. Spåren ledde österut. Även dessa delar av GhostNet såg ut<br />
att kontrolleras av servrar i Kina. 82<br />
Det rörde sig om en mycket omfattande och sofistikerad attack,<br />
riktad direkt mot datorer som var toppintressanta för ett större lands<br />
underrättelsetjänst. Upp mot en tredjedel av de infekterade datorerna<br />
hörde till utrikesdepartement, ambassader, mediehus och stora<br />
frivilligorganisationer. Irans utrikesdepartement lyftes särskilt fram,<br />
liksom sju indiska ambassader, bland annat den i Washington. 83<br />
Förutom den tibetanska exilregeringen tycks Taiwan ha varit ett eftertraktat<br />
mål. Landet stod för den enskilt största gruppen med inte<br />
mindre än 148 infekterade datorer. Även USA hade fått ett stort antal<br />
datorer infekterade, och en maskin vid Natos Europahögkvarter i<br />
140
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
Belgien kunde avlyssnas. Men i övrigt tycktes spionnätet fokusera på<br />
länderna i södra Asien, som en båge runt Kinas gränser.<br />
GhostNet beskrevs av forskarna som ett enormt spionnätverk med<br />
förgreningar över hela världen. Misstankar riktades direkt mot den<br />
kinesiska regimen, men trots att programmen kontrollerades via datorer<br />
i Kina var de kanadensiska författarna försiktiga med att slå fast<br />
vem som låg bakom GhostNet.<br />
– Det kan lika gärna vara CIA eller ryssarna. Det är en väldigt ljusskygg<br />
värld vi lyfter på locket till, sa Ronald Deibert, en av forskarna<br />
bakom avslöjandet.<br />
Han fick medhåll av företrädare för den kinesiska regimen som<br />
föga förvånande förnekade all inblandning i nätverket. I debatten<br />
som följde presenterades snabbt teorin att servrar i Kina hade hackats<br />
och att de användes för att kontrollera nätverket utan att deras ägare<br />
ens visste om det. Det skulle innebära att Kinas regering inte alls var<br />
inblandad och att förövarna kunde befinna sig i en helt annan del av<br />
världen. 84<br />
Likheterna mellan listan som Dan Egerstad lade ut på nätet 2007<br />
och den som de kanadensiska forskarna sammanställde nästan två år<br />
senare är slående. Irans utrikesdepartement finns där och flera av ambassaderna<br />
är desamma. Dessutom ledde tre av de lösenord svensken<br />
hade kommit över just till konton knutna till dalailama.com, den<br />
tibetanska andlige ledarens officiella domän. Tor figurerar visserligen<br />
inte i den kanadensiska rapporten, men det är fullt tänkbart att<br />
de ljusskygga personerna bakom avlyssningen kom över lösenord till<br />
konton som de fortsatte att vittja, hela tiden via det välkända anonymiseringsnätverket.<br />
Sannolikt var dessa personer tillräckligt kunniga<br />
för att begripa att lösenorden därmed kunde hamna i andras händer.<br />
Men det spelar liten roll att stulen information stjäls en gång till.<br />
Nart Villeneuve, en av utredarna som avslöjade GhostNet, berättar<br />
att han mycket väl kände till Dan Egerstads lista när han granskade<br />
spionringen. Även han slogs av de många likheterna i vilka attackerna<br />
riktades mot. Däremot är han långt ifrån säker på att det var just<br />
GhostNet som Malmökillen hade ramlat över.<br />
141
svenska ha c k a r e<br />
– Målen tycks vara liknande, men det finns flera grupper som agerar<br />
på liknande sätt och mot liknande mål, berättar han för oss i ett<br />
mejl.<br />
Gläntade svensken på dörren till en internationell spionhärva,<br />
kanske med kopplingar till någon av världens mäktigaste underrättelsetjänster?<br />
Det är inte bara det stora antalet ambassader och<br />
utrikes departement som Dan Egerstads lista och GhostNet har gemensamt.<br />
Även tidsmässigt stämmer de båda upptäckterna kusligt<br />
bra överens. Forskarna vid Torontouniversitetet har spårat de första<br />
infektionerna i nätverket till den 22 maj 2007. Det var strax därefter,<br />
under sommarmånaderna 2007, som de första lösenorden började<br />
fastna i Dan Egerstads servrar. Några säkra bevis för att det var just<br />
GhostNet som Dan Egerstad upptäckte finns inte, men om teorin<br />
stämmer så kunde spionskandalen ha stoppats redan 2007 – om de<br />
ansvariga på de drabbade myndigheterna och ambassaderna försökt<br />
spåra intrånget vidare i stället för att tysta ner det. När de kanadensiska<br />
forsk arna släppte uppgifterna om den vidsträcka avlyssningen<br />
så beskrevs GhostNet som ett aktivt nät utan några tecken på att vara<br />
på väg att läggas ner.<br />
Slutet på showen<br />
Dan Egerstad lutar sig tillbaka i sin högryggade skrivbordsstol. Han<br />
sitter i det nya kontoret, ett vitmålat rum på bottenvåningen av ett<br />
hus i södra Malmö, ett stenkast från Möllevångstorget. Kontoret är<br />
prydligt och rent. På hans skrivbord står bara hans bärbara dator,<br />
några kartonger splitter nya HTC-mobiler till kollegorna på företaget<br />
och två små, svarta högtalare som han stänger av medan vi pratar.<br />
Utanför är det vår i luften, sommaren 2010 börjar närma sig. Nästan<br />
tre år har gått sedan Dan Egerstad kopplade upp sina servrar för<br />
att lyssna av Tor-nätet och ramlade över den information som gjorde<br />
honom uppmärksammad världen över, men som också gjorde honom<br />
till föremål för en omfattande och pågående brottsutredning.<br />
Dan Egerstad själv är inte orolig för att bli åtalad. Däremot minns<br />
142
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
han i detalj hur razzian gick till den där novembermorgonen. Det<br />
senaste förhöret med polisen hölls för ett halvår sen. Då hade han<br />
hittat en post-it-lapp i brevlådan med en begäran att ta kontakt med<br />
polisen.<br />
– De sa bara att »vi kan ingenting om datorer. Nu ska vi få det här<br />
överstökat, det ska gå fort«, berättar han.<br />
Det finns flera delar i den märkliga berättelsen som ingen öppet<br />
bekräftar utom Dan Egerstad själv. Till exempel ska Säpos utredare<br />
under det första förhöret ha förklarat det sena ingripandet med att<br />
andra länder börjat utöva påtryckningar mot Sverige för att få honom<br />
gripen. Kontakter med den indiska journalisten som loggade<br />
in på flera av kontona ska av polisen ha tolkats som att de två var<br />
sammansvurna. Dessutom ska en person som uppgav sig arbeta för<br />
Säpo ha ringt upp honom bara ett par timmar efter att hans flygbiljett<br />
till USA, för framträdandet i The Hugh Thompson Show, bokades.<br />
Mannen varnade honom för att åka. Hans säkerhet kunde inte<br />
garanteras i USA, ska han ha sagt. Kanske kommer några av dessa<br />
påståenden bekräftas eller dementeras när sekretessen kring den i<br />
skrivande stund ännu pågående förundersökningen hävs.<br />
Den unge Malmökillen ångrar fortfarande inte att han tryckte på<br />
knappen som skickade ut lösenorden på nätet, trots problem med<br />
rättsskipande myndigheter och den massiva kritiken från etablerade<br />
säkerhetsexperter och <strong>hackare</strong>. Glåporden tycks rinna av honom. Stolt<br />
visar han ett mejl från en kund som känt igen hans namn och frågar<br />
om det verkligen är den Dan Egerstad hon står i kontakt med.<br />
– Det är alltid kul med uppmärksamhet, säger han.<br />
Det är omöjligt att inte ana en viss besvikelse i hans röst. Den som<br />
söker efter Dan Egerstads namn på nätet kommer att få mängder<br />
av träffar. Långa diskussionstrådar och hundratals tidningsartiklar<br />
tillägnas det han gjort. Några av världens främsta experter på ITsäkerhet<br />
har uttalat sig om fallet. Vissa med beundran i rösten, andra<br />
i fördömande ordalag. Sommaren och hösten 2007 var Dan Egerstad<br />
namnet på allas läppar i IT-säkerhetsbranschen.<br />
Men det var några år sedan. I dag är Dan Egerstad egenföretagare<br />
143
svenska ha c k a r e<br />
med ett litet IT-konsultföretag baserat i Malmö. Visserligen är kontoret<br />
han sitter i fräscht. Men det är ingen arbetsplats för en världsstjärna.<br />
Uppdragen han i dag utför åt sina kunder skiljer sig inte<br />
väsentligt från vad Dan Egerstad sysslade med innan han lade ut den<br />
ökända lösenordslistan på webben. Då publiceringen skedde jobbade<br />
Dan Egerstad hårt för att synas så mycket som möjligt. Men vad han<br />
än hoppades på för resultat av sina många utspel kring lösenordslistan<br />
så har de stora effekterna uteblivit. På kontoret i Malmö rullar<br />
dagarna på som vanligt.<br />
– Några nya kontakter på nätet har det gett, vd:ar på stora antivirusföretag<br />
som man aldrig hade träffat annars. Det ser väl bra ut.<br />
Men rent affärsmässigt har det egentligen inte gett så mycket. Inga<br />
nya affärskontakter eller så, säger han.<br />
Än i dag finns Dan Egerstads lösenordslista kvar på webben. Hans<br />
egen sajt är nedlagd sedan länge, men över hela världen spreds listan<br />
blixtsnabbt på bloggar och i diskussionsforum, många av dem fortfarande<br />
aktiva. Med största sannolikhet är lösenorden nu ändrade<br />
och listan gör ingen skada. Att listan lever kvar är snarare att betrakta<br />
som en påminnelse om en av de senaste årens mest spektakulära säkerhetshändelser.<br />
Publiceringen kunde ha ställt till betydligt mer skada om Dan<br />
Egerstad hade lagt ut alla de uppgifter han säger sig ha hittat. Då<br />
skulle vem som helst ha fått tillgång till betydligt mer än de 100 konton<br />
han publicerade. Vilka de övriga företagen och myndigheterna<br />
som syntes i informationsflödet var vill Dan Egerstad inte avslöja.<br />
Han uppger att flera inloggningar, med lösenorden fullt läsbara, till<br />
mejlkonton hos stora, internationella medier syntes i loggfilerna. Vad<br />
han aldrig tidigare har berättat offentligt var att där även fanns försök<br />
till inloggningar hos en tidning som är minst sagt välkänd för en<br />
svensk publik.<br />
Veckorna innan han lade ut lösenordslistan såg Dan Egerstad hur<br />
Aftonbladets mejlservrar attackerades med tusentals inloggningsförsök.<br />
Om och om igen skickades nya lösenord, servern meddelade att<br />
de var felaktiga, men nästa sekund försökte användaren igen med<br />
144
a m b a s s a d h a c k a r e n fr å n ma l m ö<br />
en ny gissning. Det var en tydlig signal om en pågående attack mot<br />
tidningens servrar. Metoden kallas »brute force«, råstyrka, och innebär<br />
att ett skyddat system bombarderas med inloggningsförsök i förhoppningen<br />
om att hitta rätt lösenord. Med hjälp av fritt tillgängliga<br />
program och en vanlig PC kan en <strong>hackare</strong> testa tusentals lösenordskombinationer<br />
automatiskt och på kort tid skaffa sig tillgång till ett<br />
låst system, förutsatt att lösenorden inte är för långa eller komplicerade.<br />
Klart var att någon försökte ta sig in på mejlkonton som tillhörde<br />
anställda på Aftonbladet. För att angriparna inte skulle kunna spåras<br />
skickades attackförsöket via Tor, och syntes därför när Dan Egerstad<br />
började spana i trafiken.<br />
Hur han skulle tolka att någon riktade en attack mot Sveriges<br />
största tidning visste Dan Egerstad inte då. Dessutom var andra<br />
uppgifter i informationsfloden betydligt mer intressanta, tyckte han.<br />
Men några månader efter att hans egen lösenordslista lagts ut på nätet<br />
hände något som kunde förklara attacken mot Aftonbladet. Det<br />
hade blivit vinter och svenskarna firade in det nya året 2008.<br />
145
Dataintrång som sport<br />
»Total digital dödsanarki på alla håll«<br />
Stockholm, 1 januari 2008.<br />
KlocKaN haDE paSSErat två på natten. Fyrverkerierna hade precis<br />
slutat smälla över huvudstaden. Berusade nyårsfirare vinglade hem<br />
genom Stockholmsnatten och tomma champagneflaskor skräpade<br />
på gatorna. Någonstans blinkade en webbserver till och gav ifrån sig<br />
ett dovt surrande i en annars tyst och nedsläckt serverhall. Internet<br />
under nyårsnatten påminner om Stockholms tunnelbana en tidig<br />
söndagsmorgon. Få kvällar är det lika glest på nätet, även de mest<br />
inbitna har annat för sig.<br />
Servern var TV3:s hemvist på nätet, webbplatsens ankare i den<br />
fysiska världen. I maskinen fanns den kod som utgjorde tevekanalens<br />
hemsida. Det var den som avgjorde hur sajten såg ut och fungerade,<br />
vad som visades för en besökare på www.tv3.se. Nu, bara timmar in<br />
på det nya året, hade den fått ovälkommet besök. Från någonstans i<br />
Sverige hade en anonym angripare anslutit till systemet med stulna<br />
inloggningsuppgifter. Nya instruktioner skickades till maskinen i<br />
serverhallen.<br />
Klockan 02:18 den 1 januari 2008 byttes TV3:s startsida ut mot ett<br />
hånfullt budskap. Sidan avslutades med ett hot:<br />
Det bör även tilläggas att vi inom kort kommer att bjuda på<br />
total digital dödsanarki på alla möjliga håll och kanter – Lev<br />
väl och välkomna in i det nya året! 85<br />
147
svenska ha c k a r e<br />
Tevekanalens tekniker kallades in. Drygt tre timmar senare, klockan<br />
05:31, var den värsta skadan reparerad. Den som på nyårsmorgonen<br />
gick in på tv3.se möttes i stället av en tom startsida. Hackarnas meddelande<br />
var bortraderat. Ytterligare ett par timmar senare var hemsidan<br />
helt återställd. 86 Men det hotfulla budskapet var inte bara tomma<br />
ord från personer som hellre ägnade nyårsnatten åt att bryta sig in på<br />
webbservrar än att skåla in det nya året. Fler intrång skulle följa med<br />
samma signatur. Först ut var Sveriges största tidning.<br />
148
d a t a i n t r å n g so m sp o r t<br />
Klockan närmade sig elva på kvällen den 2 januari 2008. Luften<br />
var kylig utanför Aftonbladets lokaler i södra Stockholm. Erik tittade<br />
ut genom fönstret.* Framför honom avtecknade sig Globen<br />
mot natthimlen, längre bort Johanneshovsbron och stadsljusen vid<br />
Södermalm och Hornstull. Stockholm var fortfarande yrvaket efter<br />
nyårshelgen. Men inne på Aftonbladets redaktion jobbade kvällspassets<br />
journalister som vanligt.<br />
Erik var reporter på sportredaktionen. Han satt vid fönstren längst<br />
in i lokalen och hade därmed bättre utsikt än de flesta av tidningens<br />
medarbetare. Den här kvällen var ett femtontal personer inne på<br />
sporten. Fyra reportrar, ett tiotal redigerare och redaktörer.<br />
Det var en långsam nyhetskväll. Sporten var på väg ut med kvällens<br />
sista webbnyhet. Den amerikanska sprinterkungen Justin Gatlin<br />
skulle överklaga sin dopningsavstängning hos det internationella<br />
friidrottsförbundet. Bakom Erik satt nöjesredaktionen. Deras sista<br />
publicering för kvällen skulle bli en grej om sommarens musikfestivaler,<br />
hårdvinklad på »festivalkriget« för att få till lite nyhetskänsla.<br />
Om ett par timmar skulle tidningens första morgonupplaga lämnas<br />
till tryck.<br />
Erik hamrade vidare på tangentbordet. Två minuter över elva<br />
plingade det till i mejlboxen. Han klickade fram den på skärmen<br />
och höjde på ögonbrynen. Anders Gerdin? Vad ville den avgående<br />
chefredaktören honom?<br />
On Wed, 02 Jan 2008 23:02:35 +0100<br />
»Anders Gerdin« wrote:<br />
Grupprunk på personal toan om 10 min, dom som inte<br />
kommer får lägre lön och indragen semester.<br />
När en stor nyhetshändelse inträffar uppstår en speciell stämning på<br />
en tidningsredaktion. Ofta är TT först med informationen. En ny-<br />
* Erik heter egentligen någonting annat.<br />
149
svenska ha c k a r e<br />
hetsflash, en korthuggen sammanfattning av det som hänt landar<br />
samtidigt hos alla tidningens medarbetare. Det går ett sus genom<br />
lokalen. En väl inarbetad arbetsprocess drar igång. Reportrarna lyfter<br />
sina telefoner, redaktörerna ropar ut artikelbeställningar och diskuterar<br />
vinklar. Tempot går från halvfart till högsta hastighet inom loppet<br />
av ett par minuter.<br />
Det här var ungefär likadant. Erik såg sig omkring i lokalen. Alla<br />
hade fått samma mejl, det förstod han direkt. Den sömniga kvällslunken<br />
ersattes av förvåning. Häpna leenden, vissa garvade högt.<br />
Någon busvisslade. Kollegor vinkade fram förbipasserande till sina<br />
datorskärmar. Skämtade Anders Gerdin? Svårt att tro. Bara två dagar<br />
tidigare hade han, efter tio år som chefredaktör på Aftonbladet,<br />
lämnat över rodret till sin efterträdare Jan Helin. Otänkbart att hans<br />
sista avsked till redaktionen skulle vara ett obscent sexmejl. Vad var<br />
det som höll på att hända? 87<br />
Oscar Edholm, Aftonbladets IT-chef, visste redan svaret på den<br />
frågan. Aftonbladets IT-avdelning satt i huset bredvid, sammanbundet<br />
med redaktionsbyggnaden via en gångbro. Här var aktiviteten febril.<br />
Det var inte Anders Gerdin själv som skickat mejlet. Tidningens<br />
datorsystem var utsatt för attack. Strax efter klockan tio på kvällen<br />
hade anonyma angripare offentliggjort mer än tusen användarnamn<br />
och lösenord för tidningens anställda på webbforumet Flashback.<br />
Bland de drabbade fanns flera av tidningens mest profilerade skribenter.<br />
Även Oscar Edholms eget användarkonto låg vidöppet för<br />
nyfikna besökare.<br />
Läckan var graverande. Vem som helst kunde logga in på de drabbade<br />
kontona, läsa anställdas mejl och skicka egna meddelanden i<br />
deras namn. Nästan omedelbart efter publiceringen hade tidningen<br />
fått tips om det inträffade. Men katastrofen var redan ett faktum.<br />
Hackare i systemet. Den värsta tänkbara mardrömmen för en ITansvarig.<br />
Ofattbara mängder känslig information kunde hamna i fel<br />
händer.<br />
Det dröjde inte länge innan Oscar Edholms telefon började ringa.<br />
Andra medier hade också fått tips om lösenordslistan och ville ha<br />
150
d a t a i n t r å n g so m sp o r t<br />
svar. Stämde det? Vad hade läckt? Vad skulle de göra nu? Oscar Edholm<br />
var inte journalist, men att det här var en nyhet förstod han<br />
mycket väl. Strax efter midnatt publicerade TT sitt första telegram<br />
om intrånget. För en reporter på Sydsvenskan förklarade Edholm så<br />
gott han kunde vad som hade hänt:<br />
– Det är inte mejlservern som har hackats, som det påstås, utan<br />
den externa åtkomsten av intranätet. Och där har vissa haft samma<br />
lösenord som till mejlen, sade han. På frågan om det läckt ut några<br />
hemligheter hade han inget svar. 88<br />
Strax före midnatt drog tidningens tekniker i nödbromsen. Aftonbladets<br />
mejlsystem kopplades bort från nätet, alla anslutningar som<br />
inte kom inifrån huset stängdes ned. Det var en nödåtgärd för att ge<br />
lite andrum. Redan nu stod det klart att ett digert arbete låg framför<br />
Aftonbladets IT-avdelning. Samtliga lösenord måste bytas ut. En<br />
grundlig analys av intrången väntade. Hur hade hackarna tagit sig in?<br />
Hur kunde tidningen förhindra att det hände igen?<br />
Men inloggningsuppgifterna låg kvar på nätet, långt bortom Aftonbladets<br />
kontroll. Som IT-ansvarig var Oscar Edholm van vid att tjata<br />
på bolagets anställda om att ta IT-säkerhetsfrågor på allvar. Använd<br />
inte samma lösenord på flera ställen. Byt ofta, välj något mer svårknäckt<br />
än ett förnamn eller personnummer. Men han visste att människor<br />
sällan höll så hårt på företagets lösenordspolicy som de borde.<br />
Mycket riktigt visade det sig att flera av lösenorden till Aftonbladets<br />
datorsystem fungerade även på andra håll. Snart deklarerade<br />
Aftonbladets modeprofil Sofi Fahrman på sin Facebooksida att hon<br />
gillade »lättöl och porr«. Från Ian Vännman, känd för att uttala sig i<br />
tidningen om datorer och internet, skickades ett meddelande till en<br />
kvinnliga bekant med frågan »tar du den i tvåan?«. Tevechefen Elsa<br />
Falk fick sin profilbild utbytt mot ett obscent fotografi på en mansstjärt.<br />
På andra håll hånades Oscar Edholm för sitt val av lösenord:<br />
»Anakin«, Darth Vaders barndomsnamn i Star Wars-filmerna. Det<br />
dröjde inte länge innan hans glasögonprydda ansikte klippts in på<br />
filmskurkens kropp med ljussvärdet i högsta hugg. »May the password<br />
be with you«, löd undertexten.<br />
151
svenska ha c k a r e<br />
Morgonen därpå hade den uppspelta stämningen på Aftonbladets<br />
redaktion förbytts i allvar. Nu började den verkliga omfattningen av<br />
attacken stå klar. Bortom skadegörelsen och pojkstrecken på Facebook<br />
fanns en betydligt allvarligare sida av det som inträffat. Källskyddet,<br />
journalistyrkets grundlagsskyddade ryggrad, hamnade snart<br />
i blickfånget. Det hade tagit knappt en timme för Aftonbladet att<br />
stänga ner sina mejlsystem efter att inloggningsuppgifterna offentliggjorts.<br />
Tidningen hade vid det här tillfället över 300 anställda journalister.<br />
Ingen visste hur länge hackarna hade haft tillgång till informationen<br />
innan den publicerades. Ingen visste hur många som hunnit<br />
logga in innan tidningen stängde ned systemen – eller vilka uppgifter<br />
som fanns lagrade på de drabbade kontona. Ett ofrånkomligt faktum<br />
stod klart för Aftonbladets journalister. Någon hade skaffat sig<br />
full tillgång till all mejlkommunikation in och ut från redaktionen.<br />
Anonyma källor kunde ha fått sin identitet röjd. En storm av frågor<br />
riktades mot Aftonbladet.<br />
– Vi kan inte garantera någonting, svarade tidningens informationschef<br />
Olof Brundin på en direkt fråga om huruvida källskyddade<br />
uppgifter hade hamnat i fel händer. 89<br />
Den svenska webbens stolta undersida<br />
Attackerna mot TV3 och Aftonbladet de där nätterna i början av 2008<br />
blev startskottet för den mest uppseendeväckande våg av dataintrång<br />
som Sverige någonsin utsatts för. Under några kalla vintermånader<br />
hackades flera miljoner användarkonton runt om i landet. Enorma<br />
mängder känsliga uppgifter läckte från några av Sveriges mest tongivande<br />
företag och webbsajter. IT-ansvariga arbetade dygnet runt för<br />
att täta intrången, säkerhetsexperter kallades in och miljoner kronor<br />
lades ner på att städa upp efter sporthackarnas framfart. De osynliga<br />
inkräktarna lyckades ta sig förbi till synes vilka spärrar som helst<br />
innan de ett par månader senare försvann spårlöst.<br />
De kallade sig för Vuxna Förbannade Hackare (VFH). Att de låg<br />
bakom intrången var svårt att ta miste på. Gruppens namn upprepa-<br />
152
d a t a i n t r å n g so m sp o r t<br />
des gång på gång i de meddelanden som offentliggjorde attackerna<br />
mot både TV3:s hemsida och Aftonbladets intranät. På TV3:s hackade<br />
webbplats hade gruppen lämnat efter sig en slags programförklaring.<br />
Meddelandet var nästan överdrivet aggressivt till tonen:<br />
VÅRT MÅL ÄR ETT KREATIVT, KÄRLEKSFULLT OCH<br />
MER LEVANDE SAMHÄLLE ÄN DEN DEPRIME-<br />
RANDE SÖRJA VI KLETAR RUNT I. MYNDIGHETER,<br />
SKOLOR, MEDIA, RELIGION OCH ANNAT SKIT SOM<br />
ENDAST FINNS TILL FÖR ATT KUVA DEN ENSKIL-<br />
DE INDIVIDEN – ALLT JÄMNAR VI MED MARKEN I<br />
HOPP OM EN BÄTTRE MORGONDAG.<br />
O SEN TYCKER VI SJÄLVKLART OM ATT JÄVLAS<br />
OCKSÅ.<br />
Klockan 22:19 den 2 januari 2008 offentliggjorde VFH sitt intrång<br />
hos Aftonbladet i ett inlägg på webbforumet Flashback. En som reagerade<br />
lite extra var en av Oscar Edholms närmaste medarbetare,<br />
Afton bladets tekniske affärsutvecklare Ian Vännman. Det var nämligen<br />
han som var avsändaren. Som för att vrida om kniven lite extra<br />
hade hackarna tagit sig in på hans Flashbackkonto och använt det för<br />
att gå ut med de hackade lösenorden:<br />
Att ändra förstasidan är standard och skittråkigt! Vi vill göra<br />
nått annat ist. Någonting ANNORLUNDA, NÅGONTING<br />
SOM TAR HÅRT. Vad sägs om att ge ut alla lösenord till<br />
alla anställda på aftonbladet till allmänheten så de också får<br />
läsa deras mail? logga in på aftonbladets intern-sidaoch tom<br />
koppla upp sig mot deras interna nät genom VPN? Skulle<br />
inte det varaannorlunda och inte så tråkigt?<br />
Därefter följde sammanlagt 1 030 lösenord till användarkonton som<br />
tillhörde Aftonbladets anställda. Förutom en rad profilerade skribenter<br />
fanns den avgående chefredaktören Anders Gerdin, tidningens<br />
153
svenska ha c k a r e<br />
vd Carl Gyllfors, webbchefredaktören Kalle Jungkvist, informationsdirektören<br />
Olof Brundin och marknadsdirektören Pontus Ogebjer<br />
bland de drabbade.<br />
Påståendena i meddelandet var häpnadsväckande. I nästan två<br />
års tid sade sig VFH ha gått in och ut ur tidningens mejlsystem.<br />
Förutom full koll på alla mejl som flödade in och ut från Aftonbladet<br />
hade gruppen möjlighet att när som helst ändra tidningens<br />
löpsedel på webben, hävdade de. Även Aftonbladets annonssystem<br />
och tipstjänsten 71000 låg under angriparnas kontroll. Gruppen<br />
sa sig sitta på mängder av känslig information och varnade för att<br />
de när som helst kunde läcka den till allmänheten. Meddelandet<br />
avslutades med ännu ett hot. Språket påminde om det i texten från<br />
TV3-hemsidan.<br />
154<br />
Vi äger faktiskt ganska mycket här på nätet. Myndigheter,<br />
tidningar, register, stora företag, banker whatever och vi<br />
kommer under året att bevisa det.<br />
Skribenterna på Flashback flockades kring uppgifterna som hungriga<br />
vargar. Åtta minuter efter att VFH lagt ut lösenorden kom det första<br />
svaret på nätforumet. Efter det strömmade inläggen in. Klockan<br />
22:42 bekräftade signaturen Murdocen att inloggningsuppgifterna<br />
fungerade. Två minuter senare konstaterades att tidningens affärsutvecklingschef<br />
Helena Westin hade 404 olästa mejl i sin inbox och<br />
»en massa jävla julhälsningar«. Kort därefter redovisades innehållet i<br />
personaldirektören Bengt Olssons mejlbox offentligt.<br />
Tonen i diskussionstråden var i det närmaste euforisk. Aftonbladet<br />
hade fallit. Nu hyllades VFH som hjältar. »Respekt«, »Mycket imponerande!«,<br />
»Helt sjukt underbart!« var några av omdömena. Diskussionstråden<br />
blev snabbt den mest populära på Flashback. »Bra jobbat!<br />
Nu ska vi se om Aftonbladet verkligen vågar skriva att de själva<br />
blivit ägda«, skrev signaturen Teh_pwnerer klockan 22:53, en dryg<br />
halvtimme efter att inloggningsuppgifterna offentliggjorts. Två dagar<br />
senare fanns 2 785 svar i tråden.
d a t a i n t r å n g so m sp o r t<br />
För att förstå reaktionen på attacken måste man förstå Flashback<br />
– skrävlarnas tummelplats. Den svenska webbens stolta undersida.<br />
För de <strong>hackare</strong> som söker uppmärksamhet är det självklart att det är<br />
här intrång ska avslöjas och hemliga uppgifter läggas ut. Flashback<br />
är Sveriges överlägset största diskussionsforum, med fler än 400 000<br />
registrerade användare och mer än 23 miljoner inlägg i arkivet. Mest<br />
känt är forumets skvalleravdelning. Det var här den misstänkta för<br />
barnamordet i Arboga hängdes ut med namn och bild kort efter polisens<br />
ingripande. När kvällstidningarna på sina löpsedlar berättade<br />
att en känd artist stod misstänkt för hustrumisshandel var det Flashbacks<br />
användare som avslöjade att personen bakom rubrikerna var<br />
popstjärnan Papa Dee, som senare friades från en del av misstankarna<br />
men fälldes för ringa misshandel. 90 Diskussionen på Flashback styrs<br />
av få men benhårda principer. Håll dig till ämnet, bryt inte mot lagen,<br />
skräpa inte ner med reklam, avslöja inte andra forumanvändares<br />
verkliga identitet. I övrigt är det mesta tillåtet. 91<br />
I forumet figurerar allt från nynazister till människor som försvarar<br />
pedofilers rättigheter, sida vid sida med hemmafixare som ställer<br />
frågor om målarfärg och kakel. Det är också på Flashback som<br />
uppspelta tonårs<strong>hackare</strong> hetsar varandra till nya attacker och skryter<br />
om sina stordåd. I nästan femton års tid har Flashback fört ett arkiv<br />
över hackade webbsidor, både i Sverige och utomlands. I arkivet<br />
finns bland annat CIA:s hemsida som den såg ut den 20 september<br />
1996, då svenska <strong>hackare</strong> lade upp texten »Stop lying Bo Skarinder«<br />
som en protest mot rättegången mot Swedish Hackers Association.<br />
Likaså är det kutym bland skandinaviska hackargrupper att lämna<br />
en eller flera länkar till Flashback på de sajter man tar sig in på. Vill<br />
man att hela Sverige ska känna till vem som blivit hackad är det här<br />
intrånget ska offentliggöras.<br />
Flashbacks historia sträcker sig lika långt tillbaka i tiden som det<br />
svenska internet. Under det tidiga 1990-talet drog journalisten och<br />
fanzine-redaktören Jan Axelsson igång tidningen Flashback, ett magasin<br />
tillägnat »undergroundkultur« som skulle utmana och våga<br />
röra om i grytan. Syftet var att ifrågasätta och provocera, att värna<br />
155
svenska ha c k a r e<br />
om yttrandefriheten i en värld som Jan Axelsson tyckte blev alltmer<br />
benägen att göra inskränkningar på området. Särskilt många tidningar<br />
blev det aldrig. Fyra nummer av Flashback gavs ut mellan 1993 och<br />
1997. Kanske mest uppmärksammat blev det tredje, där Jan Axelsson<br />
publicerade namn, adress och telefonnummer till ett stort antal<br />
dömda våldtäktsmän. Några av de utpekade anmälde Flashback för<br />
förtal och Jan Axelsson dömdes i hovrätten att betala 50 000 kronor<br />
i skadestånd för psykiskt lidande.<br />
I stället fokuserade Jan Axelsson på det framväxande internet. 1995<br />
lanserades nyhetsbrevet Flashback News Agency som snabbt blev ett<br />
av landets mest lästa med över 120 000 prenumeranter. 92 Ett återkommande<br />
inslag var länkar till hackade sajter. Fler tjänster följde:<br />
ett webbhotell som erbjöd utrymme till »personer, organisationer<br />
och andra som av olika anledningar haft problem att hitta någonstans<br />
att ha sina hemsidor«, tjänster för anonym webbsurf, verktyg<br />
för att skapa falska personnummer och annat. I juni 1998 gav Jan<br />
Axelsson, genom det nybildade skivbolaget Flashback Records, ut<br />
skivan »Uffe was a Nazi!«. Där samlades gamla inspelningar med<br />
popstjärnan Ulf Ekberg, som innan framgångarna med popgruppen<br />
Ace of Base varit aktiv i rasistiska och nynazistiska punkband. I maj<br />
2000 startades Flashbacks diskussionsforum. Det blev snabbt den<br />
självklara mötesplatsen för svenska nätanvändare med ett intresse för<br />
webbens undersida.<br />
Redan från starten var Flashback en retsam nagel i ögat på det<br />
svenska etablissemanget. År 2000 försvann sajten från nätet under<br />
drygt sju månader efter påtryckningar från S-politikern Björn Fries.<br />
Bakgrunden var den nynazistiska organisationen Nationalsocialistisk<br />
front, vars hemsida drevs på Flashbacks webbhotell. Tre år senare<br />
fälldes Flashback i marknadsdomstolen för att ha länkat till sajter<br />
som sålde olagliga piratkort för avkodning av kabelteve. Dusterna<br />
med rättvisan cementerade bilden av Jan Axelsson som det fria ordets<br />
kanske mest outtröttlige förkämpe. I februari 2001, under samma period<br />
som Flashback var bortkopplat från internet, tilldelades han det<br />
svenska Mensapriset »för det idoga kämpandet för oinskränkt yttran-<br />
156
d a t a i n t r å n g so m sp o r t<br />
defrihet trots häftiga protester från såväl myndigheter och media som<br />
den allmänna opinionen«.<br />
Aftonbladet har alltid varit ett kärt diskussionsobjekt på forumet.<br />
Under åren har debattörerna på Flashback odlat ett sällsamt hatkärleksförhållande<br />
till kvällstidningen och dess läsare. Att klaga på Aftonbladets<br />
reportrar är en favoritsysselsättning, att peka ut faktafel och<br />
anklaga »Aftonhoran« för att fara med osanning närmast slentrian.<br />
Samtidigt är forumskribenterna av allt att döma bland kvällstidningens<br />
mest flitiga läsare. I en av forumets mest välbesökta trådar har<br />
en grupp hängivna skribenter ända sedan i april 2007 hjälpts åt att<br />
lägga ut låst material från aftonbladet.se och dagens tidning i digitalt<br />
format. »För att rädda träd!« som trådskaparen Spermhare skriver. I<br />
april 2010 låstes tråden eftersom det bröt mot forumets regler, enligt<br />
Flashback efter påtryckningar från tidningen. Då hade diskussionstråden<br />
12 008 inlägg som hade visats över två miljoner gånger.<br />
»Det är vårt allra heligaste«<br />
Inne på Aftonbladets redaktion var tidningens reportrar först osäkra<br />
på hur dataintrånget skulle hanteras. Var det läge att haka på nyheten<br />
med uppföljningar? Kanske bättre att tiga ihjäl det hela? Bara<br />
ett par timmar efter attacken var mediedrevet i full gång. Landets<br />
största tidningar fylldes av artiklar om intrånget. Även Aftonbladet<br />
bestämde sig snart för att anfall var bästa försvar. I en stort uppslagen<br />
artikel dagen efter intrånget informerade tidningen sina läsare<br />
om att intrånget nu var föremål för en polisanmälan. Den följdes<br />
av en intervju med Oscar Edholm som pedagogiskt förklarade för<br />
läsarna vad som hänt. Dagen därpå sträckte chefredaktör Jan Helin<br />
ut en hand.<br />
»Aftonbladet bjuder in <strong>hackare</strong> på kaffe«, var rubriken i tidningen<br />
den 6 januari 2008. Jan Helin hade bestämt sig för att ta tjuren vid<br />
hornen. Han var intresserad av att förstå hackarna, skrev han. Vad<br />
som drev VFH att ge sig på Aftonbladet? Vad det var som gjort dem<br />
så upprörda? Klockan tre på söndagen och måndagen lovade han att<br />
157
svenska ha c k a r e<br />
vara tillgänglig för ett möte. Det skulle bli kaffe, bullar och en diskussion<br />
om Aftonbladets roll och ansvar i samhället:<br />
158<br />
Jag bläddrar i de senaste dagarnas tidningar som jag varit<br />
ansvarig utgivare för och försöker se vad som gjort VFH så<br />
förbannade.<br />
Är det vårt avslöjande av biståndsskandalen i Tanzania?<br />
Är det storyn om att några av Sveriges mest kända personer<br />
kommer att vittna i ett våldtäktsmål mot en svensk<br />
världsstjärna?<br />
Är det vår ingående skildring av tragedin i Rödeby?<br />
Vårt avslöjande att hemliga försvarsdokument legat och<br />
skräpat på ett bibliotek?<br />
Är det de skakande bilderna på popikonen Britney Spears<br />
när hon förs i ambulans till psyket?<br />
Vår förbehållslösa och översvallande glädje över Charlotte<br />
Kalla?<br />
Jag är nytillträdd chefredaktör för Aftonbladet och på<br />
riktigt intresserad av vad i vår journalistik som gör Vuxna<br />
Förbannade Hackare så upprörda att de begår brott. Därför<br />
säger jag så här:<br />
Kom och hälsa på mig på redaktionen i dag klockan 15.00,<br />
eller på måndag samma tid. Vi kan göra något så omodernt<br />
men mysigt som att dricka eftermiddagskaffe. Jag ska med<br />
spänning lyssna på er och förklara hur jag ser på saken.<br />
Chefredaktören avslutade med ett löfte om att hackarna skulle få<br />
vara anonyma.<br />
Utspelet eldade på snacket om intrånget. På Flashback möttes inbjudan<br />
av förvåning. Vem trodde Jan Helin att han var? VFH hade<br />
ägt Aftonbladet, visat bortom allt tvivel vem som bestämde. Enligt<br />
god hackartradition skulle tidningen nu lägga sig platt och erkänna<br />
sig besegrad. I stället gick Jan Helin på offensiven, utmålade hackarna<br />
som skurkar och försökte dra igång en debatt om rätt och fel.
d a t a i n t r å n g so m sp o r t<br />
Dessutom – var chefredaktören ärlig i sitt utspel? Skulle poliser stå<br />
gömda i Aftonbladet-huset, redo att gripa hackarna så fort de klev in<br />
på redaktionen? Och framför allt, skulle någon nappa på inbjudan?<br />
Föga förvånande dök ingen upp. Jan Helin fick dela bullarna med<br />
en ensam frilansfotograf som begett sig till redaktionen i jakt på ett<br />
scoop. Men kanske blev utspelet ändå en pr-seger. I texten framställs<br />
VFH i det närmaste som terrorister. Aftonbladet, Jan Helin själv och<br />
tidningens läsare utmålades som offer för vandaler och brottslingar:<br />
VFH:s nya uppgifter visar ytterligare en sak: De kan nu ha<br />
tillgång till information som är källskyddad enligt svensk<br />
grundlag. På ren svenska: journalisters kontakter med källor.<br />
Det är vårt allra heligaste.<br />
I den stund Vuxna Förbannade Hackare skulle få för sig<br />
att sprida sådan information riktar sig deras attack inte längre<br />
mot Aftonbladet. Då är det dig som medborgare VFH ger<br />
sig på. Din rätt att vara skyddad som källa om du vänder dig<br />
till en journalist för att få en orättvisa eller oförrätt granskad.<br />
I texten gav chefredaktören sken av att Aftonbladet togs på sängen<br />
av intrången, att attacken var plötslig och oväntad som en blixt från<br />
klar himmel. Men i själva verket visste Aftonbladet betydligt mer<br />
om intrången och angriparna än man signalerade utåt. Redan två år<br />
tidigare hade de första attackerna skett mot tidningens datorsystem.<br />
De hade varit föremål för en omfattande utredning, både hos polisens<br />
IT-brottsrotel och tidningens egna teknikexperter. Mycket i den<br />
senaste attacken pekade på kopplingar till det tidigare fallet. I takt<br />
med att Oscar Edholm och tidningens IT-avdelning fortsatte gräva<br />
pekade spåren allt längre bakåt i tiden, till en sommarkväll 2006. Då,<br />
som nu, hade tidningens IT-avdelning väckts till en plötslig krissituation<br />
mitt i natten.<br />
159
svenska ha c k a r e<br />
Stockholm, 18 juni 2006<br />
Den första attacken mot aftonbladet.se hade inträffat redan sommaren<br />
2006. Den gången var det Martin, säkerhetsexpert på företaget<br />
Sentor, som blev först att slå larm.* Han arbetade hemifrån, uppkopplad<br />
mot Sentors nätverk och vidare ut mot kunderna från sin<br />
lägenhet i Stockholm. Den här morgonen hade han nattpasset. Aftonbladet<br />
stod på bevakningslistan.<br />
Martin var en digital säkerhetsvakt. Hans uppgift var att bevaka<br />
och skydda, se till att upptäcka och slå larm om eventuella försök<br />
att stjäla kundernas känsliga information innan det var för sent. På<br />
datorskärmen framför honom rullade löpande information om all<br />
trafik in och ut ur de system han satts för att övervaka. Den där tidiga<br />
sommarmorgonen i juni ringde larmklockorna för fullt.<br />
Sentor är ett av Sveriges mest välrenommerade säkerhetsföretag.<br />
Bolaget grundades 1998 och har i dag kontor i Stockholm, Malmö<br />
och London. Sentors specialitet är övervakning, djuplodande säkerhetsanalyser<br />
och utredningar av omfattande dataintrång. Säkerhetsföretag<br />
som Sentor är IT-världens privatspanare som kallas in i<br />
hemlighet av storföretagen för att rensa upp när det otänkbara har<br />
inträffat. När Socialdemokraternas intranät utsattes för intrång inför<br />
riksdagsvalet 2006 var det Sentor som fick uppdraget att utreda incidenten.<br />
Bolagets exakta kundlista är av naturliga skäl belagd med<br />
tung sekretess. Sentors uppdragsgivare skyltar ogärna med vad de råkat<br />
ut för.<br />
Ett av Sentors erbjudanden heter Säkerhet 24/7. Det innebär att<br />
företagets experter övervakar kundens system dygnet runt. Händer<br />
något oväntat analyseras det i detalj av den jourhavande teknikern.<br />
Bedöms intrånget vara äkta genomförs en rad tester och säkerhetsexperten<br />
slår larm om det inträffade. Det var just en sådan incident<br />
som dök upp på Martins datorskärm den natten.<br />
Strax efter treslaget på morgonen, söndagen den 18 juni 2006, larmade<br />
Sentors övervakningssystem om ett misstänkt intrång i servern<br />
* Martin vill inte figurera med sitt namn i boken och heter egentligen någonting annat.<br />
160
d a t a i n t r å n g so m sp o r t<br />
transfer3.aftonbladet.se, en av knutpunkterna i Aftonbladets annonssystem.<br />
Hemifrån gjorde Martin en snabb analys av det inträffade.<br />
Okända angripare hade lyckats ta sig in på annonsservern och fått<br />
kontroll över systemet. Vilka uppgifter som läckt ut var fortfarande<br />
oklart, men att intrånget var värt att ta på allvar rådde det ingen<br />
tvekan om. Transfer3 var den server som Aftonbladet använde för att<br />
kommunicera med och ta emot filer, till exempel annonsmaterial,<br />
från reklamköpande kunder. Martin fortsatte sin analys av intrånget,<br />
samtidigt som solen kröp allt högre upp på himlen.<br />
Bara ett par timmar senare ringde telefonen hos Aftonbladets Ian<br />
Vännman. I andra änden fanns en av Martins kollegor på Sentor.<br />
Meddelandet var kort och koncist: Transfer3 hade blivit hackad. Från<br />
klockan två på morgonen och framåt hade flera olika ip-adresser anslutit<br />
till tidningens system. Av allt att döma hade de inget där att<br />
göra.<br />
Ian Vännman agerade snabbt. Han informerade Aftonbladets ITchef<br />
Oscar Edholm om vad som inträffat. Även Anders Bjarby på<br />
företaget Infomaker, som byggt Aftonbladets annonssystem, kopplades<br />
in i utredningen. Tillsammans började de nysta i loggfilerna från<br />
Transfer3. Först gällde det att förstå exakt vad som inträffat. Efter det<br />
skulle säkerhetshålen tätas.<br />
Det stod snart klart att angriparna tagit sig långt in i tidningens<br />
datorsystem. De hade gjort sig till superanvändare med full tillgång<br />
till funktionerna på annonsservern, vilket i sin tur gav tillgång till<br />
mängder av känsligt material: korrespondens mellan Aftonbladet<br />
och tidningens annonskunder, bilder, texter och annat material som<br />
skickades till tryck. Åtminstone i teorin hade hackarna under natten<br />
haft full möjlighet att publicera eget material på annonsplats i Aftonbladet,<br />
både i den tryckta tidningen och på webben.<br />
Tipstjänsten 71000, dit läsare kunde skicka anonyma nyhetstips<br />
till tidningen, låg också under hackarnas kontroll. Det gav dem insyn<br />
i korrespondensen mellan Aftonbladet och hemliga uppgiftslämnare.<br />
»Läsa nyheterna före alla andra«, som Vuxna Förbannade Hackare<br />
skadeglatt konstaterade vid ett senare tillfälle. Aftonbladets egen ut-<br />
161
svenska ha c k a r e<br />
redning slog fast att inloggningsuppgifterna hade spridits vidare till<br />
andra personer natten efter intrånget, troligen via webbforum eller<br />
i chattkanaler. I Aftonbladets loggfiler syntes tydligt hur ip-adresser<br />
från Kina, USA och Tyskland kopplat upp sig och rotat runt på annonsservern<br />
dagarna efter intrånget. Dessutom hade de sannolikt<br />
kommit över de inloggningsuppgifter som Aftonbladets kunder<br />
använde för att ladda upp annonsmaterial till Transfer3. Risken var<br />
överhängande att obehöriga inkräktare nu rotade runt på konton<br />
som tillhörde Aftonbladets annonsköpande kunder. Vem visste vilka<br />
andra system som lösenorden fungerade i? Privata mejlkonton? Interna<br />
företagsnät? När Oscar Edholm och de andra på tidningens IT-avdelning<br />
summerade sin utredning verkade det hela nästan ofattbart. I<br />
hemlighet hade hackarna grävt sig långt förbi säkerhetsspärrarna och<br />
slagit rot, som ett ogräs, djupt in i tidningens datorsystem.<br />
Oscar Edholm stod inför ett dilemma. Det var dags att låsa porten.<br />
Att hindra hackarna från att fortsätta rota runt i systemen var<br />
högsta prioritet. Men hur skulle han gå tillväga? Att helt koppla bort<br />
tidningens förbindelser med omvärlden var otänkbart. Då skulle Aftonbladets<br />
webbsajt stå stilla, kontakten med tryckeriet brytas och<br />
reportrarnas mejl vara otillgänglig. Samtidigt kunde han inte lämna<br />
allt för mycket öppet eftersom risken för att hackarna skulle upptäcka<br />
nya kryphål då skulle öka. Det var den IT-ansvariges ständiga<br />
balansgång. Hur mycket säkerhet kunde han kosta på sig innan verksamheten<br />
slutade fungera?<br />
Det bestämdes att åtminstone tipstjänsten 71000 och tidningens<br />
annonsflöden skulle isoleras. Samtliga externa konton som kunde<br />
användas för att ladda upp eller ned material från Transfer3 kopplades<br />
bort och nya lösenord mejlades ut till användarna. Oscar Edholm<br />
gav Infomakers utredare den mödosamma uppgiften att gå igenom<br />
annonssystemet i jakt på nya säkerhetsluckor. Men att helt koppla<br />
bort systemen vågade han inte. »Jag låter det vara uppe och har säkrat<br />
upp allt som jag kan hitta«, skrev han senare i en rapport till polisens<br />
utredare.<br />
Samtidigt fortsatte utredningen av attacken. Annonsserverns log-<br />
162
d a t a i n t r å n g so m sp o r t<br />
gar finkammades i jakt på spår efter angriparna. På ett kinesiskt diskussionsforum<br />
hittade Anders Bjarby på Infomaker exakt samma<br />
kod som hackarna lämnat efter sig på Aftonbladets servrar, komplett<br />
med instruktioner för hur den skulle användas. Till och med filnamnen<br />
som använts var likadana som på den kinesiska sajten. Av det<br />
drog Anders Bjarby en omedelbar slutsats. Det var inga proffs som<br />
Aftonbladet hade att göra med, snarare nyfikna tonåringar som gett<br />
sig ut på alldeles för djupt vatten. I korrespondensen mellan Infomakers<br />
och Aftonbladets utredare utmålades hackarna som töntar<br />
och »script kiddies«, nedlåtande slang för <strong>hackare</strong> som förlitar sig på<br />
färdigskrivna kodsträngar och andras hårda arbete i sina attacker. 93<br />
Snart kom nästa genombrott. I loggarna från den hackade annonsservern<br />
lyckades Anders Bjarby isolera två ip-nummer. Båda kom<br />
från Sverige, båda hade anslutit till Aftonbladets annonsserver under<br />
natten till den 18 juni i samband med att attackerna satte igång. Vad<br />
ännu bättre var: den ena ip-adressen ledde till en webbsida. Därifrån<br />
var det en enkel match att leta sig vidare. Med hjälp av adressregistret<br />
nic.se hittade Anders Bjarby ett namn på sajtens ägare. Ett par<br />
googlingar senare började bilden av den misstänkte stå klar. Det var<br />
en man, 29 år gammal, bosatt i en mindre ort i Småland. Dessutom:<br />
Anders Bjarby konstaterade att han varit aktiv i ett antal Linux- och<br />
hackarforum på nätet där diskussionerna om säkerhetsbrister och dataintrång<br />
gick varma. Var det här hjärnan bakom alltihop?<br />
Allt verkade stämma. Anders Bjarby lade ihop pusselbitarna och<br />
hade snart en teori klar: 29-åringen hade snubblat över verktygen<br />
som använts mot Aftonbladet på ett webbforum och bestämt sig för<br />
att prova själv. Anders Bjarby mejlade sina fynd till Oscar Edholm på<br />
Aftonbladet. Med all säkerhet skulle ett rejält skrämselskott räcka för<br />
att få stopp på angreppen, menade han. Lyckades tidningen få till ett<br />
erkännande så skulle allt vara löst:<br />
Mitt förslag är att någon på Aftonbladet juridiskt kunnig<br />
person kontaktar [mannen i Småland], får hans knän att<br />
skaka och tänder att skallra samt ber honom om information<br />
163
svenska ha c k a r e<br />
164<br />
om var han fått tillgång till den här informationen och på<br />
vilket sätt han har nyttjat den samt om han känner till om<br />
och hur och när andra har utnyttjat den. På så sätt bör vi<br />
(om vi vill) kunna rota djupare i det här ärendet och kanske<br />
kunna komma åt själva källan.<br />
Riktigt så hårt gick inte Oscar Edholm fram. Men uppgifterna om den<br />
misstänkte lämnades ändå till polisen tillsammans med en anklagelse:<br />
29-åringen var »i högsta grad inblandad« i intrånget, slog IT-chefen<br />
fast.<br />
Den 30 juni 2006, knappt två veckor efter de första larmen om intrånget<br />
i Aftonbladets datorsystem, lämnade Oscar Edholm in en polisanmälan<br />
till söderortspolisen i Stockholm. Ärendet hamnade hos<br />
Jim Keyzer, IT-brottsutredare vid länskriminalpolisen i Stockholm.<br />
Han var en erfaren utredare med några av de senaste årens mest uppmärksammade<br />
IT-brott i sin meritförteckning. Jim Keyzer var en<br />
av dem som utredde fildelningssajten The Pirate Bay och skulle få<br />
en central roll när härvan kring bedrägerierna mot Nordeas nätbank<br />
nystades upp i början av 2007. Under sensommaren och hösten gick<br />
Jim Keyzer igenom loggarna från intrånget, pratade med Aftonbladet<br />
och Infomakers utredare för att skaffa sig en bild av det inträffade.<br />
Det var ett omfattande detektivarbete med ett enda syfte, att hitta<br />
spår som ledde fram till en ensam dator och personen bakom tangentbordet.<br />
Jim Keyzer drog snart samma slutsats som Anders Bjarby<br />
på Infomaker hade gjort: det bästa spåret var de två ip-nummer som<br />
han lyckats identifiera och plocka fram ur den hackade serverns loggfiler.<br />
Jim Keyzer ville dock bekräfta det hela på egen väg innan han<br />
gick vidare. Som polisman hade han befogenheter som Aftonbladets<br />
egna utredare saknade och kunde därför begära ut information om<br />
de misstänkta ip-adresserna direkt från bredbandsoperatörerna. Den<br />
ena visade sig leda till säkerhetsföretaget Sentor – det stämde med<br />
uppgifterna från Aftonbladet om att Martin var den som först upptäckt<br />
intrånget. Hans egna tester den där natten den 18 juni hade<br />
sannolikt gett avtryck i annonsserverns loggar.
d a t a i n t r å n g so m sp o r t<br />
Den andra ip-adressen var registrerad hos Bredbandsbolaget och<br />
ledde till den 29-åring som Aftonbladet redan pekat ut i sin internutredning.<br />
Uppgifterna stämde på pricken med vad Anders Bjarby<br />
på Infomaker hade fått fram tidigare under sommaren. Bredbandsabonnemanget<br />
var registrerat på en man med samma namn, bosatt<br />
på samma ort. Hans dator hade anslutit till Aftonbladets annonsserver<br />
samma natt som intrånget genomförts. Dessutom hade han<br />
IT-säkerhet och Linux som specialintresse. Men till skillnad från Aftonbladets<br />
utredare var rättsväsendet inte redo att peka ut 29-åringen<br />
som en misstänkt gärningsman riktigt än. Klart var att hans dator<br />
spelat en roll i attacken mot Aftonbladet – att den hade använts för<br />
att ansluta till tidningens system stod bortom allt tvivel – men att<br />
29-åringen själv suttit bakom tangentbordet fanns det än så länge<br />
inga bevis för.<br />
Den 1 december 2006 bestämde Jim Keyzer att det var dags för ett<br />
förhör. Åklagaren hade bestämt sig för att inte peka ut 29-åringen<br />
som misstänkt riktigt än. Förhöret skulle i stället handla om hans<br />
datorutrustning och den misstänkta ip-adressen, med syftet att få<br />
klarhet i varför de båda hade dykt upp i loggarna från Aftonbladets<br />
system. Innan det fanns mer bevis att gå på fick brottsmisstankarna<br />
vänta.<br />
Jim Keyzer lyfte på luren, slog numret och väntade. Några signaler<br />
gick fram, sedan hördes en röst i den andra änden. Polismannen förklarade<br />
kort vad ärendet rörde. Mannen berättade utan omsvep att<br />
han hade en Linuxdator hemma. Den fungerade som server för hans<br />
egen webbsida, stod gömd i garderoben och var påslagen och uppkopplad<br />
i stort sett hela tiden. Varför den hade synts i samband med<br />
attacken mot Aftonbladet kunde han däremot inte svara på. Dessutom<br />
nekade han bestämt till att ha haft kontakt med Aftonbladets<br />
webbsajt under de aktuella dagarna. Han kunde en del om Linux, ja.<br />
Anledningen var att han nyligen påbörjat en datorutbildning. Men<br />
<strong>hackare</strong> var han absolut inte. Jim Keyzer lyssnade uppmärksamt. Än<br />
så länge hade förhöret inte gett honom något nytt att gå på. Uppgifterna<br />
stämde, men ingenting som smålänningen sa tydde på att<br />
165
svenska ha c k a r e<br />
han varit inblandad i intrånget mot Aftonbladet. Åtminstone inte<br />
medvetet.<br />
Nästa fråga. Använde mannen något slags programvara för att<br />
surfa anonymt på nätet? Ja, svarade han. Under våren hade han anslutit<br />
sin Linuxserver till nätverket Tor. Men för en månad sedan<br />
hade han tagit bort mjukvaran. Varför? Den gjorde datorn långsammare,<br />
svarade mannen.<br />
Tor. Jim Keyzer suckade. Då var det spåret rökt. Nätverket som<br />
gör folk anonyma dök upp i ännu en utredning. Som Dan Egerstad<br />
några månader tidigare hade avslöjat använde någon nätverkets<br />
vindlingar för att i hemlighet avlyssna mejlkorrespondens mellan<br />
mängder av diplomater och storföretag. Nu stod det klart att även<br />
hackarna som tagit sig in i Aftonbladets datorsystem gjort likadant.<br />
Genom att ansluta via Tor hade de gjort sig osynliga för både tidningens<br />
övervakningssystem och polisens utredare. De enda spåren<br />
pekade på smålänningens dator. Men han hade bara haft oturen att<br />
vara den sista knutpunkten i den långa kedja av anslutningar som<br />
ledde fram till Aftonbladets system. Med största sannolikhet hade<br />
han själv ingenting med attacken att göra. 94<br />
Jim Keyzer brydde sig inte ens om att anteckna någonting om varför<br />
29-åringen hade kopplat sin dator till Tor. Att ansluta till nätverket<br />
är i sig inte på något vis kriminellt, och anledningarna kan vara<br />
flera. Kanske ville han bara testa hur det omtalade anonyma nätet<br />
fungerade. Kanske drevs han av en vilja att hjälpa andra genom att<br />
upplåta sitt bredband till trafik i nätverket. Kanske var han, som så<br />
många andra, bara ute efter att ladda hem musikfiler i fred utan att<br />
skivbranschens piratjägare skulle komma honom på spåren. Oavsett<br />
vilket var det nu så gott som omöjligt för Jim Keyzer att reda ut varifrån<br />
angreppen egentligen hade kommit. Troligtvis visste 29-åringen<br />
inte ens vad som hade pågått – att hans dator var den sista länken<br />
i en lång kedja maskiner som utnyttjades för att genomföra ett allvarligt<br />
dataintrång. Visst fanns en teoretisk möjlighet att det faktiskt<br />
var 29-åringen själv som suttit bakom tangentbordet den där natten.<br />
Men det var i så fall omöjligt för Jim Keyzer att bevisa. Det var en sak<br />
166
d a t a i n t r å n g so m sp o r t<br />
att kunna peka på att en viss dator använts i attacken. En helt annan<br />
att knyta maskinen till rätt användare.<br />
Den 8 december 2006, nästan ett halvår efter de första attackerna<br />
mot Aftonbladet men bara en vecka efter förhöret med 29-åringen,<br />
beslutade åklagaren att förundersökningen skulle läggas ned. Med<br />
Smålandsspåret slopat fanns inga andra uppgifter att gå vidare med.<br />
Tor dolde angriparnas verkliga identitet lika effektivt som silkesvantar<br />
döljer fingeravtryck vid ett inbrott. Inte heller Aftonbladets egen<br />
utredning gav några ytterligare resultat. Utåt tystades intrången ned<br />
– ingen information gick ut till media eller tidningens läsare om det<br />
som inträffat. Jim Keyzer fick bittert konstatera, som i så många andra<br />
ouppklarade dataintrångsfall, att angriparna lyckats smita utan att<br />
lämna några spår efter sig. Oscar Edholm, de anställda på Aftonbladets<br />
IT-avdelning och Anders Bjarby på Infomaker hjälptes åt att lappa<br />
säkerhetshålen i tidningens system så gott det gick. Allt de kunde<br />
göra var att hålla tummarna för att det skulle hålla hackarna utelåsta.<br />
Vilka det än var som hade gett sig på tidningens system så förblev<br />
gruppen på fri fot. 95<br />
Stockholm, januari 2008<br />
Två år senare hade Oscar Edholms mardröm återkommit. Det var nu<br />
i slutet av januari 2008 och nästan en månad hade gått sedan Vuxna<br />
Förbannade Hackare lagt ut lösenorden till Aftonbladets datorsystem<br />
på nätet. Internutredningen var avslutad och ännu en polisanmälan<br />
inlämnad. Oscar Edholm och de anställda på tidningens IT-avdelning<br />
hade återigen tvingats lägga ned hundratals timmar på att gå<br />
igenom systemen, leta säkerhetshål och säkra upp efter hackarnas<br />
framfart. Han insåg besviket att de åtgärder som vidtagits nästan två<br />
år tidigare inte hade varit nog. Allt Oscar Edholm kunde göra nu var<br />
att försöka minimera skadorna efter attacken.<br />
Uppmärksamheten tärde. Dataintrånget mot Aftonbladet hade<br />
sparkat igång en häftig debatt om IT-säkerhet och vikten av källskydd<br />
på internet. Runt om på nätet hånades Oscar Edholm för sitt<br />
167
svenska ha c k a r e<br />
eget val av lösenord och på nätverkssajten Linkedin hade någon tagit<br />
sig in på hans profil och bytt hans namn till »Blåst Edholm«. Glåporden<br />
haglade medan andra, som journalistförbundets ordförande<br />
Agneta Lindblom Hulthén, beskrev hacket som ett »angrepp på demokratin«<br />
– ett angrepp som det hade varit Oscar Edholms jobb att<br />
stoppa. 96<br />
Det hela kändes hopplöst. Oscar Edholm hade försökt hantera det<br />
som inträffat med öppenhet och ärlighet. Han hade ställt upp på<br />
flera intervjuer, berättat i både Aftonbladet och andra medier om<br />
vad som gått fel och hur tidningen nu tänkte förbättra säkerheten.<br />
Men det verkade elda på snarare än lugna ned debatten. Ju mer han<br />
försökte förklara och kommentera det inträffade desto mer högljutt<br />
blev hatet och föraktet. Inte ens att erkänna att han gjort fel verkade<br />
ge någon effekt. Flera av de anställda på tidningens IT-avdelning<br />
mådde mycket dåligt av uppmärksamheten. I dag vill Oscar Edholm<br />
ogärna prata om händelserna, men i ett mejl till oss medger han att<br />
han fortfarande, flera år efter attackerna, får en olustig känsla när<br />
VFH kommer på tal.<br />
Inte heller 2008 ledde spåren efter angriparna någon vart. Tillsammans<br />
med Jim Keyzer konstaterade Oscar Edholm att hackarna ännu<br />
en gång, liksom vid intrånget år 2006, anslutit till tidningens servrar<br />
genom Tor. Med läxan från den omfattande utredningen två år tidigare<br />
i minnet bestämde de sig för att inte ödsla mer tid på att jaga<br />
någon som gjort sig praktiskt taget osynlig. Det fanns inga spår att<br />
gå vidare med och både Aftonbladets internutredning och polisens<br />
förundersökning lades ned. 97<br />
Många frågetecken kring attacken finns kvar. Aftonbladet har fortfarande<br />
inte gett något definitivt svar på den kanske viktigaste frågan<br />
i hela fallet, hur länge VFH ruvade på de knäckta lösenorden innan<br />
de publicerades på Flashback. I klartext: Under hur många dagar,<br />
veckor eller månader kunde okända och osynliga angripare i hemlighet<br />
spionera på Aftonbladets journalister innan de själva avslöjade sin<br />
närvaro och slängdes ut ur systemen? Oscar Edholm, Aftonbladets<br />
ledning och VFH själva är sannolikt de enda som vet svaret på den<br />
168
d a t a i n t r å n g so m sp o r t<br />
frågan, och samtliga tiger som muren. Men med hjälp av polisens<br />
förundersökning och de spår som hackarna lämnat efter sig på nätet<br />
går det att resonera sig fram till ett par möjliga scenarion.<br />
I samtal med polisen har Oscar Edholm uppgett att ett första<br />
lyckat intrång hos Aftonbladet upptäcktes redan i november 2007.<br />
Då stals ett antal användarnamn och lösenord ur tidningens databas.<br />
Ännu en lyckad attack upptäcktes i december samma år, då en stor<br />
mängd kontouppgifter läckte ut. Förutsatt att systemen inte knäckts<br />
ännu tidigare utan Aftonbladets vetskap innebär det att VFH hade<br />
tillgång till åtminstone delar av tidningens datorsystem i nästan två<br />
månader innan uppgifterna offentliggjordes på Flashback och kontona<br />
stängdes ned.<br />
Enligt VFH:s egen beskrivning så var intrången betydligt mer<br />
omfattande än så. Gruppen säger sig ha vandrat in och ut ur tidningens<br />
mejlsystem under hela två års tid. Trots Oscar Edholms och<br />
IT-avdelningens hårda arbete ska Aftonbladet inte ha lyckats hålla<br />
dem borta från systemen i mer än ett par dagar efter att de första<br />
intrången upptäcktes 2006. Även skydden runt publiceringssystemet<br />
för Aftonbladets löpsedel på webben, en av Sveriges mest välbesökta<br />
webbsidor, säger de sig ha överlistat.<br />
Det är svårt att bedöma sanningshalten i de påståendena. Men<br />
en detaljerad jämförelse, brev för brev, mellan det som VFH lagt ut<br />
på nätet och det som finns i polisens egen utredning, ger ändå en<br />
tydlig fingervisning. Strax efter att lösenorden lades ut på Flashback<br />
så redogjorde gruppen också i detalj för korrespondensen mellan Aftonbladets<br />
och Infomakers utredare under sommaren 2006, bland<br />
annat de mejl där hackarna utmålades som okunniga amatörer. Klart<br />
är alltså att de vid publiceringstillfället i januari 2008 hade tillgång<br />
till interna mejl ur Aftonbladets system sedan nästan två år tillbaka,<br />
skrivna långt innan deras intrång blev kända för allmänheten.<br />
Hur kunde gruppen ha tillgång till två år gamla mejl som skickats<br />
mellan utredare på Aftonbladets IT-avdelning? Det finns flera tänkbara<br />
förklaringar. En är att VFH passade på att gräva fram gamla<br />
mejl från de knäckta mejlkontona när de tog sig in i Aftonbladets<br />
169
svenska ha c k a r e<br />
system för andra gången i slutet av 2007. Det är inte alls otänkbart<br />
att breven låg kvar i systemen. Det är heller inte otänkbart att gärningsmännen<br />
varit nyfikna på hur de själva hade jagats efter de första<br />
intrången. Medlemmarna i gruppen kan teoretiskt sett också ha vänt<br />
sig till polisen, begärt ut utredningen om sina egna brott, skrivit av<br />
breven och presenterat dem som resultatet av ett hack.<br />
Eller så stämmer hackarnas egen version av historien. Mejlen mellan<br />
Aftonbladets och Infomakers utredare kunde läsas av VFH redan<br />
då de skickades 2006, efter att säkerhetsluckan skulle ha stängts. Det<br />
skulle innebära att gruppen vandrat in och ut ur tidningens system<br />
i nästan två års tid, läst vad högt uppsatta personer på Aftonbladet<br />
skrev till varandra – och till polisens utredare – långt efter att tidningen<br />
trodde sig ha säkrat upp systemen. Om ett mejlkonto var<br />
knäckt under den här perioden hade angriparna med största sannolikhet<br />
tillgång till fler. Hemligstämplade uppgifter som lagrades<br />
på journalisternas mejlkonton under den tiden kan då ha hamnat<br />
i orätta händer. När Aftonbladet skrev om »super<strong>hackare</strong>n« Stakkato<br />
från Uppsala år 2007 såg VFH i så fall på inifrån tidningens<br />
datornätverk. Likaså när tidningen berättade om Dan Egerstad och<br />
beskrev Tor-nätet för sina läsare, samma nätverk som Vuxna Förbannade<br />
Hackare använde för att dölja sina egna identiteter djupt inne i<br />
Aftonbladets system.<br />
Tidningens ledning är i dag mycket ovillig att tala om fallet Vuxna<br />
Förbannade Hackare. I vårt arbete med den här boken har vi gång<br />
på gång sökt Aftonbladets IT-chef Oscar Edholm för att få veta mer.<br />
Han har konsekvent avböjt att svara på konkreta frågor om attackerna.<br />
Det samma gäller tidningens informationschef Olof Brundin.<br />
Vid tidpunkten för attackerna, då mediedrevet kring Aftonbladet<br />
och det brutna källskyddet rasade som värst, kallade han intrånget<br />
för »oerhört allvarligt« och lovade att tidningen skulle gå till botten<br />
med saken, tillsammans med polisens utredare. 98 Drygt två år<br />
senare tonar han ned attackerna och jämför dem med ett inbrott i<br />
källaren:<br />
– Vi har haft inbrott många gånger. Ibland i källaren, ibland digi-<br />
170
d a t a i n t r å n g so m sp o r t<br />
talt. Flera bilar i garaget har blivit plundrade på stereo etc., skriver<br />
han i ett mejl till oss. 99<br />
Efter flera månader av propåer går Aftonbladet ändå med på en<br />
kort telefonintervju. Men de få svar som Olof Brundin ger oss är<br />
mycket korthuggna.<br />
– Vi vet väldigt, väldigt mycket. Men mer än så kan jag inte säga.<br />
Då röjer jag en del av det tillvägagångssätt vi använt oss av för att ta<br />
reda på det, säger Olof Brundin.<br />
Frågan om hur länge hackarna egentligen var inne i tidningens<br />
system vägrar Aftonbladet fortfarande att svara på. Olof Brundin är<br />
noga med att varken dementera VFH:s egen version – att de hade<br />
insyn i tidningens system från 2006 ända till den spektakulära publiceringen<br />
på Flashback 2008 – eller att dela med sig av någon ny<br />
information om vad som verkligen hände.<br />
– De var inne alldeles för länge. I övrigt har jag inga kommentarer,<br />
säger han. 100<br />
Men trots att tidningen utåt tiger om vad som verkligen hände<br />
vintern 2008 har intrånget blivit en del av den interna jargongen. Än<br />
i dag händer det att anställda skämtar med varandra när någon har<br />
glömt bort sitt lösenord. »Testa Anakin!« 101<br />
»Ett angrepp på demokratin«<br />
Det var attackerna mot TV3 och Aftonbladet som gjorde Vuxna Förbannade<br />
Hackare till kändisar. Men det var inte de första intrången<br />
som gruppen hade tagit på sig. Fredagen den 15 september 2006, bara<br />
två dagar innan riksdagsvalet, genomfördes en hackarattack mot det<br />
socialdemokratiska ungdomsförbundet SSU:s hemsida. Förutom en<br />
stor Folkpartiet-logotyp och ett hånfullt budskap om att »byta ut<br />
sin skitpolitik« riktat till den dåvarande SSU-ordföranden Anna Sjödin<br />
publicerades också förbundets medlemslista öppet för vem som<br />
helst att ladda hem. Förbundssekreteraren Mattias Vepsä reagerade<br />
mycket starkt på attacken, kanske inte helt oförutsett med tanke på<br />
att valrörelsen var i full gång. »Det är ett angrepp på demokratin«, sa<br />
171
svenska ha c k a r e<br />
han vid en blixtinkallad presskonferens kort efter intrånget. Varken<br />
SSU eller polisen lyckades dock komma angriparna på spåren. 102<br />
Ingenstans på SSU:s hackade sajt, eller i någon av de efterföljande<br />
diskussionerna, förekommer namnet Vuxna Förbannade Hackare.<br />
Först ett par månader senare, under nyårsnatten 2007, dök gruppens<br />
namn upp i offentlighetens ljus för första gången. Ett par timmar<br />
efter tolvslaget den 1 januari 2007, exakt ett år innan attacken mot<br />
TV3:s hemsida, tog sig VFH in på LO:s webbserver och bytte ut sidan<br />
mot sitt eget budskap. Både tonen och tillvägagångssättet känns<br />
igen från de intrång som gruppen senare genomförde. »Efter hatobjekt<br />
ett kommer hatobjekt två«, löd budskapet på sajten. »Under<br />
2007 kommer LO fortsätta kämpa för att alla ska få samma usla lön!<br />
Medlemsavgifter osv kommer gå till att fortsätta smutskasta småföretagare.<br />
Gott nytt år!« Sidan var signerad med »Vuxna Förbannade<br />
Hackare – det slutar inte här«.<br />
Längre upp i texten tog gruppen på sig ansvaret för attacken mot<br />
SSU som inträffat ett par månader tidigare, tillsammans med en hånfull<br />
hälsning till polisen. »När vi hackade SSU så lämnade vi fyra<br />
påhittade spår för att kontrollera hur snabba ni var. Tyvärr hittade ni<br />
bara ETT av dem och sprang iväg och beslagtog datorer hos en helt<br />
oskyldig stackars kille! Skäms på er!«<br />
Mycket riktigt hade polisen följt upp ett spår den gången. På egen<br />
hand kunde SSU spåra en av anslutningarna i attacken till en dator<br />
i ett studentrum vid Blekinge tekniska högskola. Polisen kallades in<br />
och en husrannsakan genomfördes. Den 24-årige student som ägde<br />
datorn plockades in och förhördes om attacken. Det kunde dock aldrig<br />
bevisas att han själv varit inblandad. I stället drogs slutsatsen att<br />
studentens dator även den var hackad. De verkliga angriparna hade<br />
använt den som ytterligare en sköld för att dölja sina egna identiteter.<br />
Ska man tro VFHs egen berättelse rörde det sig till och med om ett<br />
medvetet villospår.<br />
En av de personer som kopplades in i utredningen vid Blekinge<br />
tekniska högskola var Anders Carlsson, universitetsadjunkt på skolans<br />
sektion för datavetenskap och en av högskolevärldens tunga<br />
172
d a t a i n t r å n g so m sp o r t<br />
auktoriteter på IT-säkerhetsområdet. Anders Carlsson har i mer<br />
än tio års tid arbetat med den svenska polisens utbildningar inom<br />
IT-säkerhet, med skräddarsydda kurser för försvarsmakten och polisväsendet<br />
i ämnen som nätverkssäkerhet, digital bevissäkring och<br />
kvalificerat underrättelsearbete på internet. Många av de svenska poliser<br />
som i dag arbetar med IT-relaterade brott har vid något tillfälle<br />
undervisats av Anders Carlsson, likaså flera av Sveriges främsta ITsäkerhetsexperter.<br />
Nu, med uppgifterna om VFH:s intrång på sitt<br />
skrivbord, bestämde han sig för att försöka hjälpa till.<br />
Med hjälp av systemloggarna från intrånget hos SSU, via elevdatorn<br />
på Blekinge Tekniska Högskola, kunde Anders Carlsson dra två<br />
slutsatser. Genom att analysera de elektroniska fingeravtryck som angriparnas<br />
webbläsare lämnat efter sig kunde han konstatera att tre separata<br />
maskiner hade använts i attacken. Två PC-datorer som körde<br />
operativsystemet Linux och en Mac-dator med operativsystemet OS<br />
X. Det tydde på att tre personer varit delaktiga. Visserligen är det<br />
möjligt att flera individer satt samlade framför varje datorskärm eller<br />
deltog via exempelvis ett chattprogram. Men spåren efter just de här<br />
tre maskinerna fanns utmärkta i systemloggarna. Det här var verktygen<br />
som hackarna hade använt sig av. Däremot var det omöjligt att<br />
ta reda på var i världen maskinerna befann sig, eller vem det var som<br />
suttit vid tangentborden. Alla geografiska spår var skickligt dolda<br />
med hjälp av Tor-nätet, precis som vid attacken mot Aftonbladets<br />
system ett år senare.<br />
Den andra slutsatsen kom när Anders Carlsson började titta närmare<br />
på den kod som använts vid attacken. Tvärt emot vad Aftonbladets<br />
utredare kommit fram till så kunde han snabbt konstatera<br />
att det inte var några vanliga tonårsvandaler han hade att göra med.<br />
Attacken utnyttjade en säkerhetslucka som han själv inte kände till<br />
sedan tidigare. Koden som hackarna använde sig av var sannolikt<br />
skräddarsydd. Dessutom hade gruppen sopat igen spåren efter sig på<br />
ett skickligt vis. Anders Carlsson kunde inte låta bli att fascineras av<br />
loggarna han såg framför sig. Ur ett tekniskt perspektiv var angreppet<br />
utsökt genomfört. Antingen var det här personer med mycket god<br />
173
svenska ha c k a r e<br />
kännedom om SSU:s system sedan tidigare, eller så rörde det sig om<br />
en grupp mycket skickliga individer som visste precis vad de höll på<br />
med.<br />
– Det var inte någonting de bara hade plockat hem från nätet. Det<br />
här var top of the line. Jag fick anstränga mig för att klura ut exakt<br />
hur det hade gått till, säger Anders Carlsson i dag.<br />
Vuxna Förbannade Hackare. För de insatta var gruppens namn<br />
en uppenbar blinkning. Ett par år tidigare hade den tidigare relativt<br />
okända gruppen Arga Unga Hackare över en natt blivit mytomspunna<br />
megakändisar i Hackarsverige. Genom att hacka mejlen hos filmbranschens<br />
intresseorganisation Antipiratbyrån lyckades gruppen<br />
avslöja en infiltratör med täcknamnet Rouge, som på filmindustrins<br />
begäran planterat bevis för piratkopiering på internetoperatören<br />
Bahnhofs servrar. Avslöjandet blev en rejäl brandfackla i den pågående<br />
piratdebatten, en fråga som redan letat sig bort från hackarvärldens<br />
slutna kretsar och ut i den stora världen, till tidningarnas debattsidor<br />
och löpsedlar. Arga Unga Hackare blev hjältar i den svenska<br />
datorvärlden, en hackargrupp som gjorde skillnad på riktigt. De var<br />
piratrörelsens egna gerillasoldater, en digital attackstyrka som gjorde<br />
nattliga räder på fientligt territorium. Och en självklar inspiration för<br />
alla de unga entusiaster som törstade efter att tillhöra <strong>hackare</strong>litens<br />
exklusiva gemenskap. Det gällde även Vuxna Förbannade Hackare:<br />
»Vi har ingen som helst koppling till AUH. Likheten av namnval<br />
valde vi utav respekt för vad de står för och lyckats med. Vi hoppas<br />
att aktioner likt denna gör att fler folk blir inspirerade till att hacka,<br />
så som vi blivit av AUH«, skrev Vuxna Förbannade Hackare senare.<br />
Men till skillnad från sina förebilder verkade VFH sakna en specifik<br />
agenda. Attacken mot Aftonbladet påminde mer om en barnslig<br />
provokation. Gruppens attack på medie etablissemanget var en återgång<br />
till nidbilden av tonårs<strong>hackare</strong>n med stort självhävdelsebehov,<br />
utan djupare drivkrafter än att synas och höras. Hackarna skred till<br />
verket för att de kunde, ett långfinger rakt upp i maktens ansikte<br />
utan eftertanke eller reflektion.<br />
Mönstret står i bjärt kontrast till hur Stakkato uppträtt efter sin<br />
174
d a t a i n t r å n g so m sp o r t<br />
intrångsserie några år tidigare. Han jagade också troféer att visa<br />
upp. Utredare som spårade honom efter intrången mot universiteten<br />
talar om ära och berömmelse som den främsta drivkraften, men<br />
det handlade om att söka respekt i en sluten, hemlighetsfull krets.<br />
Andra <strong>hackare</strong> skulle se och imponeras. Det fanns aldrig en tanke<br />
på att offentliggöra intrången utanför en liten grupp väl införstådda<br />
gelikar. VFH sökte bred uppmärksamhet på Sveriges största forum<br />
och fick via riksmedia en miljonpublik att imponeras eller förfasas<br />
över deras brott.<br />
Inte heller Dan Egerstads publicering av de ytterst känsliga uppgifter<br />
han plockat ur Tor-nätverket följde samma mönster. Hans<br />
resonemang kring publiceringen byggde i grunden på en vilja att<br />
skydda – tanken var att publiceringen skulle få de drabbade ambassaderna<br />
och företagen att vakna upp och börja ta säkerhetsfrågan på<br />
allvar. Dessutom hymlade Dan Egerstad aldrig med vem han var.<br />
Allt skedde under hans verkliga namn, och publiceringen drog också<br />
uppmärksamhet till honom själv och hans verksamhet som IT-säkerhetskonsult.<br />
Vuxna Förbannade Hackare höll sina verkliga identiteter hemliga,<br />
men den politiska agenda som gruppen sa sig ha var papperstunn och<br />
verkade sakna någon djupare motivation än att skapa uppmärksamhet<br />
och förstöra för ett vagt definierat etablissemang. I själva verket<br />
tycktes gruppen till stor del drivas av en vilja att få Aftonbladet, tidningen<br />
de sa sig hata, att skriva om dem. Frustrationen lyser igenom<br />
i det meddelande som gruppen lade ut när lösenorden publicerades:<br />
OK. Att hacka tv3 på deras födelsedag var tydligen inget stort.<br />
Aftonbladet skriver hellre om en ful jävla hundjävel som<br />
springer från smällare?! Härregud! Vi får helt enkelt prova på<br />
någonting annat för att nå ut till vårat förfallande samhälle.<br />
Vad sägs om någonting annorlunda? Enbart för att VI ÄR<br />
ANNORLUNDA OCH KOMMER FÖRBLI ANNOR-<br />
LUNDA!<br />
175
svenska ha c k a r e<br />
I april 2007 lade polisen ned sin förundersökning om dataintrånget<br />
hos SSU. Anders Carlsson och polisen i Blekinge tvingades bistert<br />
konstatera att man inte hade några spaningsuppslag att gå vidare<br />
med, varken efter medlemmarna i gruppen eller de tre andra spår<br />
som VFH sa sig ha lämnat kvar i SSU:s datorsystem. Inte heller utredningen<br />
av intrånget mot LO:s webbplats gav några resultat. 103<br />
Hackarvågen<br />
Begreppet copycat är välkänt inom kriminologin. Det syftar på brott<br />
som inspireras av och utförs på samma vis som ett brott någon annan<br />
begått tidigare. Särskilt vanligt är fenomenet vid fall som får stor uppmärksamhet<br />
i media. Ett exempel är den amerikanska skolmassakern<br />
i Columbine år 1999, som sägs ha inspirerat ett antal liknande fall i<br />
både USA och resten av världen. Copycat-fenomenet används gärna<br />
som ett argument mot att ge brottslingar och brottsliga gärningar<br />
stor uppmärksamhet i media. Risken att någon annan inspireras och<br />
begår liknande handlingar minskar om tidningar och teve undviker<br />
att ägna så mycket uppmärksamhet åt förövarna, heter det.<br />
Attackerna mot Aftonbladet och TV3 var två perfekta exempel.<br />
Båda fallen väckte rejäl uppståndelse och alla de stora tidningarna<br />
nämnde angriparnas namn. Precis som vid rättegången mot hackargruppen<br />
Swedish Hackers Association under 1990-talet så fylldes<br />
tidningarna av reportage om IT-säkerhet och digital brottslighet.<br />
Fascination blandades med krigsrubriker och högljudda varningar på<br />
sant kvällstidningsmanér. VFH utmålades om vart annat som terrorister<br />
och som tekniska trollkarlar, med närmast obegränsad makt<br />
över internet. Nya stjärnor hade fötts på hackarhimlen. Mängder av<br />
unga, teknikintresserade män ville bli som dem.<br />
Månaderna efter intrången mot Aftonbladet sköljde en våg av<br />
hackarattacker över Sverige. Aldrig tidigare har så många svenska företag<br />
drabbats av dataintrång på så kort tid, och aldrig som en del i<br />
vad som nu i allt högre grad liknade en offentlig tävling, hackande<br />
som ett slags åskådarsport. Flashback var skådeplatsen för spektaklet.<br />
176
d a t a i n t r å n g so m sp o r t<br />
Mängder av grupper, flera som aldrig hade synts till tidigare, tävlade<br />
om att publicera de känsligaste och mest häpnadsväckande uppgifterna<br />
på forumet. Diskussionstrådarna fylldes av en strid ström av<br />
stulna databaser och knäckta lösenordslistor. Allt skedde utan minsta<br />
omtanke om de drabbade företagen. För hackarna själva var det en<br />
lek, någonting att sysselsätta sig med framför datorn under de kalla<br />
vintermånaderna. Men för de drabbade företagen var det blodigt allvar.<br />
Runt om i Sverige kämpade IT-ansvariga för att säkra upp sina<br />
system – och slet sitt hår när de plötsligt och utan förvarning fick<br />
påhälsning av hånfulla tonårs<strong>hackare</strong> med sabotage i sinnet. Miljoner<br />
konton knäcktes och spreds öppet på nätet. Kostnaderna för att<br />
reparera skadegörelsen uppgick till flera miljoner kronor. Hundratusentals<br />
svenskar drabbades på ett eller annat vis av intrången.<br />
Den första måltavlan var communitysajten Bilddagboken, en av<br />
Sveriges mest välbesökta webbplatser med mer än en miljon medlemmar.<br />
Strax efter midnatt den 11 januari 2008 började en lista med<br />
mer än 235 000 användarnamn och inloggningsuppgifter till konton<br />
på Bilddagboken att cirkulera på Flashback. Bilddagbokens administratörer<br />
stängde ned sajten i panik samma dag, men skadan var<br />
redan skedd. Under flera veckor kunde Flashbackskribenterna roa sig<br />
med att lägga ut privata meddelanden och chattloggar från hackade<br />
användarkonton för allmän beskådan. Tusentals svenska tonåringar<br />
kunde bara se på när deras privata mejl och funderingar lades ut och<br />
häcklades på nätet.<br />
För 23-åriga Sara i Härnösand började det när hon väcktes av ett<br />
samtal klockan två på natten. Det var en vän som ringde. Hon lät<br />
upprörd: »Varför kallar du mig hora?« Sara förstod ingenting, men<br />
snart hörde fler bekanta av sig. Alla hade de fått mejl från Saras<br />
adress, fulla med obscena ord och anspelningar. Uppgifter om att<br />
Sara sålde sex blandades med extrema politiska budskap. Det var då<br />
sambandet gick upp för henne. Hon hade använt samma lösenord<br />
till Bilddagboken som till sin mejladress och nu frossade hackarna<br />
och deras efterföljare i allt de kunde hitta. Brev skickades till så gott<br />
som alla i adressboken, till vänner, gamla arbetsgivare och till föräld-<br />
177
svenska ha c k a r e<br />
rarna. Snart hade någon rotat fram hennes kontokortsuppgifter och<br />
beställde porrfilm från nätbutiken cdon.com i hennes namn. En hel<br />
dag ringde hon förkrossad runt till alla som fått breven för att berätta<br />
hur det hade gått till. 104<br />
Även kända namn dök upp i databasen, och de tycktes utöva en<br />
särskild dragningskraft på de som kom över den. För teveprofilen<br />
Adam Alsing medförde hacket mot Bilddagboken att någon kunde<br />
ta kontroll över hans mejladress och lägga ut en kopia av samtliga<br />
meddelanden på nätet. Dessutom skickades hotfulla budskap till<br />
flera namn i hans adressbok. Bland andra programledarkollegan Gry<br />
Forsell och föräldrarna i sonens hockeylag fick frågan »tar du den<br />
i tvåan«* via mejl. 105 Ett par dagar senare drabbades vimmelsajten<br />
efterfesten.com och spelsajten gamepassion.se av liknande intrång.<br />
Hundratusentals medlemmars inloggningsuppgifter redovisades öppet<br />
på Flashback. Bland de konton som visades upp fanns de som<br />
tillhörde artisten Basshunter, kändisfotografen Bingo Rimér och ett<br />
antal journalister på Expressen och TV4. 106<br />
En knapp månad senare kom nästa attack. Företaget Mecenat jobbar<br />
sedan 1998 på uppdrag av Centrala studiestödsnämnden med att<br />
ta fram och ge ut Sveriges två mest spridda förmånskort för skolelever<br />
– CSN-kortet och Mecenatkortet. Korten ger förmåner och<br />
rabatter på inköp hos vissa företag. Dessutom accepteras de på vissa<br />
håll som ett slags studentlegitimation. Mer än en miljon studenter<br />
finns bokförda i Mecenats databas, tillsammans med personnummer,<br />
adressuppgifter och kontaktinformation. Den 26 januari 2008 släcktes<br />
Mecenats webbsida ned och byttes ut. Den här gången gick inte<br />
inspirationen från VFH att undgå. Sajten pryddes plötsligt av en stor<br />
* Med tiden har en säregen kultur och humor, inte sällan av det obscena slaget, utvecklats<br />
på Flashback. Att ställa frågan »tar han/hon/du den i tvåan?« i både tänkbara och<br />
otänkbara sammanhang hör närmast till traditionen, inte minst när kända människor<br />
kommer på tal (sedan en tid tillbaka bestraffas frågan med en omedelbar varning<br />
från moderatorn om den ställs i Flashbacks skvalleravdelning). »Tvåan« används ofta<br />
utanför Flashback som en signal till andra införstådda och en hälsning till forumets<br />
skribenter.<br />
178
d a t a i n t r å n g so m sp o r t<br />
bild på en leende Jan Helin, samma fotografi som Aftonbladet använt<br />
till artikeln där chefredaktören bjöd in VFH på fika. »Anakin och<br />
Data-Janne hackar CSN«, löd undertexten. »›Vi ska ha en miljon‹ säger<br />
de till Aftonbladet i en exklusiv intervju.« Signaturen Anakin var<br />
självfallet ännu en referens till Aftonbladets IT-chef Oscar Edholm<br />
och hans ökända lösenordsval. 107 Hela Mecenats databas var stulen,<br />
uppgav hackarna. Uppgifter om nästan en miljon svenskar fanns<br />
i deras händer, men ingenting hade offentliggjorts. I stället skulle<br />
hacket betraktas som en varning och en läxa. »CSN/Mecenat kanske<br />
borde förbättra sin säkerhet eftersom de just nu är en fara både för<br />
er som studenter och sig själva«, skrev de som kallade sig Anakin och<br />
Data-Janne. För de säkerhetsansvariga på Mecenat fanns inte mycket<br />
annat att göra än bita i det sura äpplet. Samtliga användarkonton<br />
skulle bytas ut, meddelade Mecenat ett par dagar efter intrånget. Alla<br />
studenter med konton hos CSN och Mecenat, 930 000 stycken, fick<br />
nya inloggningsuppgifter skickade till sig. I väntan på att bytet skulle<br />
genomföras stängdes sajten ned. »Om man lyssnar på dem som har<br />
gjort det här så verkar syftet vara att visa att vi inte har tillräckligt bra<br />
säkerhet. Vi hoppas att det stannar vid det«, sa Mecenats vd Jonas<br />
Levin sammanbitet till en journalist. 108<br />
Ingenting tyder på att VFH hade någonting med dessa intrång att<br />
göra. De signerades med andra alias och flera av dem genomfördes på<br />
ett sätt som kräver betydligt mindre kunskap än vad personerna bakom<br />
hacket mot Aftonbladet tycktes ha haft. Däremot råder det ingen<br />
tvekan om att de inspirerats av den vid det här laget mytomspunna<br />
gruppen. VFH hade fått en lång svans av efterföljare och lärjungar.<br />
Omfattningen av attackerna började nu till och med sätta Flashback<br />
i gungning. Forumet hamnade nu mitt i allmänhetens blickfång.<br />
Mängder av tidningsartiklar skrevs om hackarnas framfart.<br />
Nästan samtliga pekade ut Flashback som den gemensamma nämnaren.<br />
Visst hade forumet varit i hetluften flera gånger tidigare, men en<br />
sådan här anstormning av känsliga uppgifter hade de ansvariga aldrig<br />
tidigare varit tvungna att befatta sig med. Även bland användarna<br />
växte frustrationen över vad som höll på att hända. Antalet skribenter<br />
179
svenska ha c k a r e<br />
och läsare i forumets IT-säkerhetsdel rusade i höjden efter att hackarvågen<br />
drog igång. På kort tid gick IT-säkerhetsforumet från att vara<br />
en relativt avskild del av Flashback till att bli en av forumets mest<br />
besökta avdelningar. Forumets veteraner reagerade med bestörtning<br />
på anstormningen av nya användare. Röster höjdes om att Flashback<br />
var på väg att förvandlas till något sämre, från ett faktiskt diskussionsforum<br />
till en informationskanal där högljudda och skrytsamma<br />
hobby<strong>hackare</strong> tävlade om uppmärksamheten.<br />
– Jag tror många äldre medlemmar också upplevde att nivån sjönk<br />
dramatiskt i kvalitet just efter VFH-hacken på grund av stormen av<br />
nyreggade, stressade, oförstående och pseudointresserade, säger en<br />
21-åring från Göteborg som var moderator och ansvarig för Flashbacks<br />
IT-säkerhetsforum under större delen av 2008.<br />
– »Registrerad januari 2008« blev lite av en symbol för, vad ska<br />
man säga, slödder? fortsätter han.<br />
I samband med hacket mot Bilddagboken satte Flashbacks moderatorer<br />
ned foten för första gången. En länk till en fil som innehöll<br />
samtliga meddelanden på Adam Alsings mejlkonto plockades bort<br />
från sajten, den tillhörande diskussionstråden rensades från känsliga<br />
inlägg och låstes för vidare inlägg. Admin, det konto som tillhör den<br />
högst ansvarige för forumet, skrev i en förklaring till beslutet:<br />
180<br />
Orsaken till att vi plockade bort länken är att den enligt vår<br />
juridiska bedömning är olaglig. Även om länken ligger på<br />
en annan webbplats så är det Flashback som sprider länken.<br />
Det hade varit helt annorlunda om filen varit upplagd på en<br />
befintlig och existerande blogg eller någon etablerad webbplats.<br />
Vår uppgift är att hela tiden se till att forumet ligger på<br />
rätt sida av lagen. Vi lägger ner förhållandevis stora pengar<br />
på konsultation hos advokater.<br />
I meddelandet märks en tydlig frustration över användarnas beteende.<br />
För Flashback var det A och O att hålla sig på rätt sida om<br />
lagen. Idén med forumet hade alltid varit att kompromisslöst värna
d a t a i n t r å n g so m sp o r t<br />
om yttrandefriheten, men det var inte samma sak som att medvetet<br />
sprida uppgifter som klart och tydligt hade stulits. Nu tycktes forumets<br />
ägare oroa sig för ännu en situation liknande den som inträffade<br />
under det tidiga 2000-talet, då Flashback kopplades bort från nätet<br />
efter anklagelser om juridiska övertramp. Då var anledningen en nynazistisk<br />
hemsida som drevs via Flashbacks webbhotell. Skulle ett<br />
gäng högljudda tonårs<strong>hackare</strong> ställa till med så mycket bekymmer att<br />
sajten stängdes ned igen?<br />
Vid det här laget hade medierna vaknat på allvar. Inom loppet av<br />
bara ett par månader hade mängder av vanliga svenskar drabbats av<br />
hackargruppernas framfart. Data- och tekniktidningarna beskrev attackerna<br />
som en »hackarvåg« som svepte över Sverige. Det hela fick<br />
IT-säkerhetsföretagen att vädra morgonluft. Flera av dem tog tillfället<br />
i akt att göra reklam för sig själva och sina produkter. Tidningar<br />
och tevesoffor gästades av experter från de stora säkerhetsföretagen.<br />
De talade inlevelsefullt om hur viktigt det var att ta IT-säkerhetsfrågor<br />
på allvar, att både företag och privatpersoner borde skydda<br />
sig med de senaste antivirusprogrammen och säkerhetslösningarna.<br />
Allra helst från deras egna arbetsgivare, så klart.<br />
En av de som passade på med ett debattinlägg var IT-konsulten<br />
Anders Wallenquist. Han var aktiv i yrkesföreningen Dataföreningen,<br />
med ett särskilt intresse för frågor som rörde IT-säkerhet.<br />
Dataföreningen är den kanske främsta samlingspunkten för svenska<br />
IT-proffs. Mer än 20 000 svenskar är medlemmar. Den 25 januari<br />
postade Anders Wallenquist ett inlägg på Dataföreningens webbplats<br />
under rubriken »Dataföreningen sitter på lösningen för att förhindra<br />
nästa hackarvåg«.<br />
Med avstamp i attackerna mot Aftonbladet och Bilddagboken<br />
argumenterade han för den tekniska lösningen OpenID, en öppen<br />
standard för att hantera lösenord på webben. I stället för att varje<br />
sajt, med mer eller mindre bristfällig säkerhet, lagrade sina användares<br />
lösenord så innebär OpenID att en central, betrodd organisation<br />
hanterar dem. Hackarvågen hade gett Dataföreningen ett guldläge,<br />
menade Anders Wallenquist. Nu hade organisationen för Sveriges<br />
181
svenska ha c k a r e<br />
IT-proffs en chans att profilera sig som en säker hamn för oroliga<br />
företag och börja erbjuda säkerhetstjänster baserade på tekniken. Vad<br />
vore mer naturligt för ett IT-proffs än att lägga sitt lösenord hos Dataföreningen?<br />
frågade Anders Wallenquist i en retorisk fråga. Säkerhetstjänster<br />
med Dataföreningen som avsändare skulle kunna ge föreningen<br />
både nya intäkter och rejält med varumärkeskännedom. 109<br />
Inlägget lästes med intresse, inte bara av Dataföreningens medlemmar.<br />
Den 28 februari 2008, nästan två månader efter attacken<br />
mot Aftonbladet och fyra veckor efter Anders Wallenquists inlägg<br />
hos Dataföreningen, dök Vuxna Förbannade Hackare upp på nätet<br />
igen. Rubriken på inlägget, återigen postat på Flashback, borde ha<br />
fått varje svenskt IT-proffs att hicka till av förskräckelse:<br />
182<br />
Skrattretande säkerhet (Dataföreningen)<br />
Ni vet hur ont i magen man kan få när man skrattar för<br />
mycket? Det var ungefär så vi kände när vi läste att Dataföreningen<br />
sitter på lösningen för att förhindra nästa hackarvåg<br />
då vi haft tillgång till dfs:s servrar i flera år. Visst är det kul?<br />
Meddelandet innehöll en länk till en textfil. I den fanns mejladresser<br />
och krypterade lösenord till Dataföreningens samtliga 24 000 medlemmar<br />
runt om i Sverige. Databasen var stulen ur föreningens datorsystem,<br />
rakt framför näsan på några av Sveriges främsta IT-experter.<br />
Namnen på listan utgjorde den absoluta gräddan i IT-Sverige. Där<br />
fanns anställda hos Rikspolisstyrelsen, Försvarsmakten, Skatteverket,<br />
Tullverket och riksdagen. Dessutom IT-ansvariga på stora företag<br />
som Handelsbanken, SE-banken, Folksam och Nordea. VFH hade<br />
stuckit kniven rakt i den svenska IT-elitens hjärta.<br />
Att lösenorden var krypterade ska inte tolkas som att de var oanvändbara<br />
för dem som kom över dessa. Med hjälp av knäckarprogram<br />
som vem som helst kan ladda hem från nätet kan miljoner alternativ<br />
testas mot den krypterade textsnutten tills programmet hittar rätt. Så<br />
snart filen fanns ute på forumet drog Flashbackmedlemmarna igång
d a t a i n t r å n g so m sp o r t<br />
sina program. Över hela Sverige surrade datorer medan de tuggade<br />
sig igenom lösenorden och ett efter ett dök de upp; färdiga lösenord<br />
i klartext, knäckta och nu utlagda på forumet för vem som helst att<br />
använda.<br />
Bara ett par minuter efter publiceringen skickade SITIC, Sveriges<br />
IT-incidentcentrum, ut ett blixtmeddelande om attacken. SITIC<br />
är en myndighet med det yttersta ansvaret för att informera och<br />
samordna samhällets respons vid omfattande elektroniska attacker.<br />
Blixtmeddelanden är reserverade till akuta varningar och skickas ut<br />
till högt uppsatta säkerhetsexperter och IT-ansvariga runt om i Sverige.<br />
Att VFH:s senaste tillslag var allvarligt gick inte att ta miste på.<br />
»Att dekryptera dessa hashar är enkelt och går väldigt fort. Risken är<br />
stor om användarna använder samma användarnamn och lösenord<br />
på andra system«, varnade myndigheten i utskicket. 110<br />
Klockan halv fem på torsdagseftermiddagen, knappt en timme efter<br />
publiceringen, informerades Dataföreningens vd Annica Bergman<br />
om vad som inträffat. Kort därefter kopplades föreningens webbplatser<br />
bort från nätet, en panikåtgärd för att förhindra hackarna från att<br />
använda de läckta lösenorden. Under kvällen höll Dataföreningen<br />
ett blixtinkallat styrelsemöte. Vid det laget hade nästan 5 000 av de<br />
24 000 användarkontona knäckts, enligt den snabbt växande diskussionstråden<br />
på Flashback. Ett fyrtiotal poliser, anställda på Säpo, och<br />
hundratals högt uppsatta chefer i IT-Sverige såg med förskräckelse<br />
hur deras inloggningsuppgifter postades på internet. Redan samma<br />
dag gick Dataföreningen ut med en offentlig uppmaning till sina<br />
medlemmar om att ta intrånget på största allvar.<br />
– Om man använt samma lösenord i andra sammanhang så ska<br />
man byta det så snart som möjligt, sa Dataföreningens ordförande<br />
Rolf Berntsson. 111<br />
Det dröjde till midnatt innan det slutade ringa i Annica Bergmans<br />
mobiltelefon. Först efter klockan två på natten kände hon att hon<br />
gjort allt hon kunde som vd och avslutade den kaotiska arbetsdagen.<br />
Samtidigt fortsatte föreningens tekniker att arbeta för att säkra upp<br />
servrar och minimera skadorna hela natten.<br />
183
svenska ha c k a r e<br />
Attacken mot Dataföreningen drog också ned byxorna på några av<br />
Sveriges mest profilerade IT-säkerhetsexperter. Samma personer som<br />
tjänade stora pengar på att agera säkerhetskonsulter åt företagskunder<br />
och gärna syntes i offentliga sammanhang för att prata om vikten av<br />
IT-säkerhetsfrågor hade nu själva fallit offer för hackarnas framfart.<br />
Predrag Mitrovic, tidigare säkerhetschef på svenska Microsoft, var<br />
en av dem som fick sitt lösenord knäckt. Per Hellqvist på Symantec,<br />
som bara ett par veckor tidigare gått till hårt angrepp mot Aftonbladet<br />
i SVT:s Aktuellt efter VFH:s andra attack under året, var en<br />
annan. Redan innan hans eget lösenord hade knäckts gick han ut och<br />
beklagade att han inte valt ett så starkt som han borde. Trots allt så<br />
försörjde han sig på att predika god säkerhet för andra. »Jag kommer<br />
nog få på skallen för det här«, konstaterade han i ett samtal med en<br />
journalist. 112<br />
Dataföreningen kallade in externa säkerhetskonsulter för att få hjälp<br />
med att täta luckorna i systemen. Tillsammans arbetade de dag och<br />
natt med att gå igenom loggarna, spåra buggar och ta hackade servrar<br />
ur bruk. Föreningen tvingades också byta alla lösenord i sina system<br />
och skicka ut nya, via papperspost, till sina mer än 20 000 medlemmar<br />
runt om i Sverige. Ett par månader efter intrånget konstaterades<br />
att notan för efterarbetet landat på ungefär en miljon kronor – stora<br />
pengar för en förening som får in ungefär 15 miljoner kronor om året<br />
i medlemsavgifter. 113<br />
»Det kändes som ett gammalt fenomen«<br />
Under vintern och våren 2008 staplades polisanmälningarna om dataintrång<br />
på hög hos Rikskriminalpolisens IT-brottssektion i Stockholm.<br />
Utredarna stod aningslösa inför den plötsliga anstormningen.<br />
Aldrig tidigare hade så många framstående sajter, företag och myndigheter<br />
fallit offer för hackarnas framfart under så kort tid. De mest<br />
omfattande attackerna, de mot TV3, Aftonbladet och Dataföreningen,<br />
hade alla namnet Vuxna Förbannade Hackare som gemensam<br />
nämnare. Men inget av de fall som polisen tog tag i ledde någon<br />
184
d a t a i n t r å n g so m sp o r t<br />
vart. Spåren pekade alltid rakt ut i Tor-nätets virrvarr av anonyma<br />
anslutningar.<br />
Ingenstans verkade hackarna ha lämnat någonting efter sig. Ingen<br />
kod, inga namn, inga hälsningar eller budskap som kunde avslöja<br />
vem som låg bakom attackerna. I fallet med Stakkato i Uppsala hade<br />
de hälsningar som <strong>hackare</strong>n lämnat efter sig varit en viktig pusselbit<br />
i den omfattande utredningen. Ordet »knark« hade förekommit i<br />
<strong>hackare</strong>ns kod, vilket gjorde att de drabbade högskolorna kunde konstatera<br />
att en svensk tonåring sannolikt var inblandad. I fallet med<br />
VFH fanns inga sådana ledtrådar. Klart var att gruppen bestod av en<br />
eller flera svenskar, samt att det fanns en koppling till webbforumet<br />
Flashback. I övrigt hade spåren sopats igen med en sällan skådad precision.<br />
Polisens utredare skakade på huvudet åt gruppen. Antingen<br />
hade VFH en väldig tur, eller så visste de precis vad de gjorde.<br />
Anders Ahlqvist var biträdande sektionschef vid Rikspolisens ITbrottssektion<br />
och en av de högst ansvariga för arbetet mot internetrelaterad<br />
brottslighet. Efter mer än tio års tjänstgöring var han en av<br />
Sveriges mest erfarna IT-poliser och hade utrett allt från storskaliga<br />
internetbedrägerier till personangrepp på Facebook. Men attackerna<br />
signerade VFH förbryllade honom. Vid den här tidpunkten arbetade<br />
polisen efter devisen att 1980- och 1990-talens uppstudsiga tonårs<strong>hackare</strong><br />
hörde till en svunnen tid. Liksom alla andra subkulturer<br />
hade nätets mer ljusskygga element vuxit upp. Vissa var nu högt<br />
uppsatta IT-proffs på svenska företag och myndigheter. Vissa av dem<br />
hade fortsatt syssla med säkerhetsfrågor, men på rätt sida av lagen.<br />
Det hörde inte till ovanligheterna att polisen nu samarbetade med säkerhetsproffs<br />
som bara ett par år tidigare funnits bland de tonåringar<br />
som jagades för att ha spridit piratkopierat material eller tagit sig in i<br />
system där de inte var välkomna.<br />
Därmed inte sagt att databrottsligheten hade försvunnit. Snarare<br />
hade hackarna vuxit upp och lärt sig att slå mynt av sina kunskaper.<br />
Vid tidpunkten då VFH dök upp på scenen var polisens övertygelse<br />
att 2000-talets <strong>hackare</strong> hade mer gemensamt med den organiserade<br />
brottsligheten än med tonårsvandaler. Hackargrupperna verkade nu<br />
185
svenska ha c k a r e<br />
långt bortom offentlighetens strålkastarljus, hette det. Antingen arbetade<br />
de med politiska förtecken eller för att tjäna pengar genom att<br />
sälja känslig information till högstbjudande. Det handlade om industrispionage<br />
och annan allvarlig brottslighet, inte uppmärksamhetstörstande<br />
skadegörelse. Ett liknande budskap hamrades in i marknadsföringen<br />
från de kommersiella säkerhetsföretagen, som nu sa sig<br />
slåss mot någonting som närmast liknade en digital maffia. Anledningen<br />
är inte svår att förstå. När <strong>hackare</strong> stjäl pengar i stället för att<br />
utföra uppvisningsattacker så blir investeringar i säkerhetslösningar<br />
och konsulttimmar en ren besparing om de leder till att en attack kan<br />
undvikas, ett säkert sätt för företagen att tjäna mer pengar.<br />
Vuxna Förbannade Hackare passade inte alls in i det mönstret.<br />
Gruppen tycktes drivas av precis samma bekräftelsebehov och vilja<br />
att skryta som den gamla skolans hackargrupper. För Anders Ahlqvist<br />
var det som en gammal relik plötsligt hade vaknat till liv och<br />
börjat röra på sig igen.<br />
– På 1990-talet var de här fame-hacken ganska vanliga. I dag förutsätter<br />
vi att hackarna är mer välorganiserade och inte syns lika mycket<br />
som förr. Men det enda syftet för den här gruppen verkade vara<br />
uppmärksamhet. Det kändes som ett gammalt fenomen, säger han<br />
till oss sommaren 2010.<br />
Attacken mot Dataföreningen blev inte föremål för en särskilt<br />
omfattande polisutredning. Efter intrånget hos Aftonbladet år 2006<br />
visste polisen vad de hade att vänta sig. Spåren ledde ut i Tor-nätverket<br />
och förundersökningen fick läggas ned utan resultat. Trots<br />
de många polisanmälningarna mot VFH skedde inte heller någon<br />
särskild samordning av fallen. All uppståndelse till trots rörde det<br />
sig i grund och botten om vandalism, resonerade polisen. Hackarnas<br />
framfart hade lyft fram en hel del pinsamheter i dagsljuset. Mängder<br />
av känsliga uppgifter hade stulits. Men det verkade inte finnas något<br />
djupare uppsåt än att förstöra och ställa till med besvär. För en<br />
poliskår som redan hade svårt att hinna med alla fall var prioritering<br />
en nödvändighet. Av de många angreppen under vintern blev det i<br />
stället attacken mot Bilddagboken, ett intrång som inte utförts av<br />
186
d a t a i n t r å n g so m sp o r t<br />
VFH, som fick mest uppmärksamhet av polisen. Den blev också en<br />
väckarklocka för de som tidigare avfärdat hackargruppernas framfart<br />
som inget mer än irriterande men ofarligt tonårsbus.<br />
Ett av de hundratusentals konton som spreds från Bilddagboken<br />
tillhörde en polisman i Östergötland. Mannens inloggningsuppgifter<br />
visade sig snart fungera även på hans privata mejladress. När Flashbackanvändarna<br />
gav sig på kontot uppdagades det att polismannen<br />
använt sin privata mejl för att lagra mycket känslig information ur<br />
sekretessbelagda brottsutredningar. På mejlkontot fanns namn, personnummer<br />
och bilder på flera misstänkta våldtäktsmän. Dessutom<br />
ljud- och textfiler som tillhörde polisens utredningsmaterial. Det var<br />
uppgifter som aldrig skulle ha förekommit utanför polisens sekretesskyddade<br />
register. Nu dröjde det inte många minuter innan materialet<br />
hade laddats upp på en amerikansk filserver och länkats från<br />
Flashback. Även namn och bild på flera helt oskyldiga personer i<br />
polisens arkiv läckte samtidigt. Även dessa hängdes ut på nätet och<br />
pekades ut som våldtäktsmän. 114<br />
Polismannen ifråga blev föremål för en internutredning – att lagra<br />
sekretessbelagda uppgifter på ett privat mejlkonto var ett solklart<br />
brott mot regelverket – men klarade sig undan med en varning. I ett<br />
försök att få tag på personerna bakom publiceringen lämnade polisen<br />
i Östergötland, via Rikspolisens IT-brottssektion i Stockholm, en<br />
förfrågan till den amerikanska federala polisen om hjälp. Genom att<br />
få ut uppgifter om vem som laddat upp informationen på filservern i<br />
USA hoppades man kunna spåra hackarna. Dessutom gjordes försök<br />
att kontakta forumet Flashbacks moderatorer för att be om hjälp<br />
med att få tag på personerna som först laddat upp inloggningsuppgifterna<br />
till Bilddagboken.<br />
Föga förvånande kammades noll på båda fronter. Från Rikspolisen<br />
i Stockholm kom beskedet att de amerikanska polismyndigheterna<br />
varken hade tid eller lust att bistå i ärendet. Från Flashback hördes<br />
inte ett knyst. Att avslöja de verkliga personerna som dolde sig bakom<br />
användarkonton på forumet vore ett direkt brott mot reglerna<br />
och forumets själva kärnvärden. 115<br />
187
svenska ha c k a r e<br />
Bristen på konkreta bevis fick polisen att formulera sin egen teori<br />
om vilka det var som låg bakom attackerna. När VFH dök upp på<br />
webben under vintern 2008 låg IT-frågorna redan högt på samhällets<br />
agenda. Rättegången mot fildelningssajten The Pirate Bay väntade<br />
runt hörnet. Debattens vågor gick höga kring den så kallade<br />
FRA-lagen, som skulle ge nya och utökade befogenheter för signalspaning<br />
till Försvarets radioanstalt. I massmedierna rasade diskussionerna<br />
om »storebrorssamhället«. Allmänhetens förtroende för<br />
myndigheterna och etablissemangets närvaro i den digitala världen<br />
tycktes aldrig ha varit mindre. Det var i det sammanhanget som<br />
polisens IT-experter betraktade den pågående hackar vågen. Strängt<br />
taget kunde Anders Ahlqvist och hans kollegor inte ens bevisa att<br />
gruppen VFH verkligen fanns på riktigt, mer än som en efterhandskonstruktion<br />
och en gemensam signatur på Flashback. I dag pratar<br />
Anders Ahlqvist om VFH på samma vis som militära myndigheter<br />
beskriver terrornätverk och extremistgrupper. 116 En utspridd och löst<br />
sammansatt organisation helt utan central ledning, men med ett<br />
vagt definierat gemensamt mål som samlingspunkt och ledstjärna.<br />
VFH blev en symbol, menar han. Det var en mask som flera olika<br />
individer, kanske helt utan koppling till varandra, kunde gömma<br />
sig bakom för att ta på sig intrång och attacker, nätets motsvarighet<br />
till terrordåd drivna av missnöje och frustration. Det var en protestaktion<br />
och en manifestation mot vad hackarna betraktade som<br />
sin gemensamma fiende – massmedierna som roffade åt sig alltmer<br />
av uppmärksamheten på internet, och myndigheterna som försökte<br />
kontrollera cyberrymden med nya lagar och regler.<br />
– På internet utgav man sig för att vara en välorganiserad grupp.<br />
Vis av erfarenhet har jag en viss skepsis mot vad som står på internet.<br />
Det diskuterades om det kunde vara något slags paraply, en paroll<br />
som flera använde under samma tidsperiod. Ett slags missnöjesyttring<br />
generellt mot samhället, säger Anders Ahlqvist.<br />
Sedan våren 2008 har polisens IT-utredare inte stött på gruppens<br />
namn igen. Det är ytterligare en anledning till att VFH skiljer sig<br />
från mängden, menar han.<br />
188
d a t a i n t r å n g so m sp o r t<br />
– Vanligen fortsätter det att röra på sig, personer dyker upp igen<br />
och det viskas om saker här och där. Att det bara tar tvärstopp sådär<br />
är ovanligt. Det får mig att känna mig skeptisk till att det verkligen<br />
var en och samma personer, säger Anders Ahlqvist.<br />
Historien om Ikaros<br />
Medan polisen ännu famlade med de utredningar som dragits igång<br />
lades fler sajter till listan över fällda byten. Men Vuxna Förbannade<br />
Hackare, som dragit igång vågen och själva stått för de mest häpnadsväckande<br />
attackerna, höll sig i bakgrunden. Bortsett från ett kortfattat<br />
inlägg i samband med attacken mot Dataföreningen hade det nu<br />
varit tyst från gruppen i snart tre månader. I mängder av diskussionstrådar<br />
på Flashback spekulerades det friskt. Vilka var medlemmarna?<br />
Vad var nästa måltavla? Det vreds och vändes på gruppens kortfattade<br />
programförklaringar, fanns där något djupare budskap?<br />
Flashbackskribenterna kan grovt delas in i två läger. Den ena sidan<br />
fördömde publiceringarna och kallade VFH för effektsökande<br />
tonåringar. Den andra försvarade gruppen och menade att hackarvågen<br />
var början på något stort. En revolution kanske? Ett sätt för<br />
hackarna, nätets ursprungsbefolkning, att ta tillbaka makten över internet,<br />
att visa vem som verkligen bestämde i den digitala världen?<br />
Men trots de häftiga diskussionerna var det ingen som verkade veta<br />
någonting om vilka som ingick i gruppen eller vad de planerade för<br />
framtiden. VFH hade nu nått en närmast legendarisk status bland<br />
Flashbackfolket. Men själva vägrade de envist att svara på frågor eller<br />
delta i diskussionerna.<br />
Den 19 mars bröts tystnaden. I ett inlägg på Flashback aviserade<br />
VFH ett »zine«, en textfil med artiklar skrivna av medlemmarna. Det<br />
var, liksom den hackarkultur gruppen tycktes representera, ett eko<br />
från en svunnen tid på nätet. Ända sedan 1980- och 1990-talen hade<br />
det hört kulturen till att hackargrupper producerade digitala tidningar.<br />
Ett zine var lika mycket en klottervägg som en användarhandbok.<br />
Djupt tekniska analyser blandades med vardagligt svammel, poesi<br />
189
svenska ha c k a r e<br />
och inlägg i krönikeform, ofta för att framhålla den egna gruppens<br />
förträfflighet. Det hela liknade den fanzine-kultur som grodde kring<br />
kulturformer som serier, litteratur och musik under slutet av 1900-talet,<br />
men distribuerat i digital form över nätet. Det var en kulturyttring<br />
kring hackandet och tekniken, ett manifest och en programförklaring.<br />
Vuxna Förbannade Hackares zine uppgavs vara det andra i ordningen.<br />
Det första hade inte lagts ut offentligt på nätet utan bara<br />
släppts »UND3R T3H GR0UND« (läs »i underjorden»), skrev gruppen.<br />
Men nu var målet att nå en större publik. Texten inleddes med<br />
en hälsning till Flashbackskribenterna. Liksom tidigare var tonen<br />
upprymd och tonårsaktig:<br />
190<br />
Vi vet att många unga kommer läsa detta och det glädjer oss.<br />
Ge fan i skolan, lär dig det du vill. Bortse från dina vänner.<br />
Stäng av datorn. Se dig omkring och granska världen. Inse<br />
hur jävla fucked den är.<br />
Kom ihåg att datorer och internet är skapade av människan.<br />
Världen är en lekplats. De som tar livet på alltför stort<br />
allvar är de som inte lyckas.<br />
Detta nummer tillägnas de som väljer att inte följa strömmen.<br />
De som inte festar varje helg för att alla andra gör det.<br />
De som skiter i skolan och lär sig något vettigt i stället. Men<br />
mest av allt, till alla er som mår så jävla dåligt.<br />
Textfilen fortsatte med ny information kring intrånget hos TV3 under<br />
nyårsnatten. Nu sa sig Vuxna Förbannade Hackare ha haft tillgång<br />
till tevekanalens datorsystem ändå sedan 2005. Som bevis fanns en<br />
namnfil från tevekanalens datorsystem inklippt i texten. Den visade<br />
exakt hur systemet såg ut och fungerade vid en viss tidpunkt, i det<br />
här fallet den 29 augusti 2005, klockan 10:27 på morgonen. Stämde<br />
uppgifterna hade hackarna rotat runt i tevekanalens datorsystem i<br />
över två år innan de valde att avslöja sig själva med attacken mot<br />
webbsidan under nyårsnatten 2008. Dessutom gav VFH för första
.<br />
k<br />
n<br />
4<br />
Berusade på kunskap och kärlek till livet<br />
d a t a i n t r å n g so m sp o r t<br />
V r ber vi er stiga in<br />
F Q i vårt hem i den digitala underjorden....<br />
H.k<br />
"@Ca[ vfh zine #2 - 2008.03.19<br />
Q 6, _,<br />
v6,]mcJV`JaJ_3}. â œSometimes the most positive thing<br />
#z!a%?$q,ndQw2YY7!_ you can be in a boring society<br />
!_D?$2?$$g]@WW?Ts%?$q,. is absolutely negative.â<br />
[ ]<br />
[ C0nt3NtZ ]<br />
[ ]<br />
[ 01 Introduktion ................................. ]<br />
[ 02 Redh4XXi0nen ................................. ]<br />
[ 03 Varför Vuxna Förbannade Hackare? ............. ]<br />
04 Media, januari och allmän dekadens ........... ]<br />
[ 05 TV3 .......................................... ]<br />
[ 06 Aftonbladet .................................. ]<br />
[ 07 Dataföreningen och IT-experternas kompetens .. ]<br />
[ 08 Avslut och framtid ........................... ]<br />
[ ............... ]<br />
[ ....... ]<br />
[ __a%! ..._
svenska ha c k a r e<br />
192<br />
Den hotbild av <strong>hackare</strong> som media har målat upp är skrämmande.<br />
Visst, det finns en och annan bov på nätet men att<br />
hacka handlar inte om ekonomisk vinning, inte om förödelse<br />
(även om vi till viss del tycker det kan behövas). Att<br />
hacka är att testa gränser, att utforska. Hacking är historien<br />
om Ikaros.<br />
Som alltid var texten tvetydig. VFH hade stått för några av de mest<br />
häpnadsväckande hacken i svensk IT-historia. Få tvivlade på deras<br />
tekniska kompetens. Men när gruppen uttryckte sig i text så pendlade<br />
resonemangen mellan intellektuell skärpa och en otydlig, nästan<br />
barnslig missunnsamhet mot samhället. Delar av texten, referenserna<br />
till »skolan« och att »festa varje helg«, pekar på att skribenterna var<br />
tonåringar. Annat, som referenserna till Eric S. Raymond och den<br />
tekniska nivån i hacken, antydde att personerna i gruppen verkligen<br />
var de »vuxna« <strong>hackare</strong> de utgav sig för att vara.<br />
Textfilen från VFH blev startskottet för en ny bombmatta av omfattande<br />
attacker. Först på tur stod en av de äldsta stjärnorna på Internetsveriges<br />
himmel: Spray. Bolaget hade grundats år 1995 som ett<br />
internetkonsultföretag med ambitionen att vara först på bollen i den<br />
nya, »interaktiva« medieindustrin. Expressen och TV4 fanns med<br />
bland de första kunderna, och med tidens anda i ryggen växte Spray<br />
explosionsartat. Företaget expanderade ut i Europa och tog sin in på<br />
nya marknader. Det blev dejtingsajter och webbradiostationer. Till och<br />
med en operatörsverksamhet för både telefon- och bredbandskunder<br />
lades till utbudet. Under hösten 2000 köptes koncernen av den amerikanska<br />
internetjätten Lycos för drygt 5 miljarder kronor, en av de<br />
största affärerna under den svenska IT-bubblans storhetstid.<br />
Men i slutet av år 2000 stormade det redan rejält kring börsens<br />
IT-företag. Ett efter ett föll de svenska IT-undren samman i spektakulära<br />
konkurser. För Spray blev sönderfallet mer utdraget. Under<br />
de följande åren styckade Lycos upp verksamheten och sålde av den i<br />
delar. 2006 köpte danska Allers Sprays portalverksamhet, med sajten<br />
spray.se som flaggskepp, i en affär värd 150 miljoner kronor. I dag
d a t a i n t r å n g so m sp o r t<br />
brottas Spray med återkommande lönsamhetsproblem, men bolaget<br />
driver fortfarande en av Sveriges mest välbesökta sajter. Mer än en<br />
miljon svenskar har användarkonton i Spray-nätverket, med mejladresser<br />
och plats för egna webbsidor.<br />
Den 15 april 2008 började ett privat meddelande cirkulera bland<br />
moderatorer och särskilt utvalda på Flashbacks forum. Avsändaren<br />
var kontot vfh, samma som VFH hade använt i sin tidigare kommunikation<br />
på sajten:<br />
++++++++++++++++++++++++++++++++++++++++++++<br />
OBS! PRIVAT MSG FRÅN VFH – VIDAREBEFODRA<br />
DETTA MEDDELANDE TILL DE DU LITAR PÅ.<br />
VFH MIZZI0N »TOTALJÄVLAS MED SPRAY«:<br />
Här kan du ta fram valfritt l0g1n till spray.se och alla deras<br />
tjänster: http://www.spray.se/horoskop/_data/knark.jsp<br />
Ta fram användare som du hatar, gå in på mail, date, webbhotell<br />
och jävlas till 100%<br />
SPRAY SKA DÖ<br />
VUXNA FÖRBANNADE HACKARE<br />
++++++++++++++++++++++++++++++++++++++++++++<br />
Hackargruppen hade upptäckt en lucka i Sprays databas som gjorde<br />
det möjligt att plocka fram valfritt användarnamn och lösenord ur<br />
systemet. Med hjälp av ett verktyg som gruppen laddat upp i Sprays<br />
system kunde nu vem som helst komma åt vilket Spray-konto som<br />
helst, inklusive mejlboxar, webbsajter och annat som fanns lagrat hos<br />
Spray-användarna. Men i stället för att släppa informationen öppet<br />
hade VFH den här gången spridit den enbart i en sluten krets. Kanske<br />
hade gruppen tagit åt sig av kritiken om att de bara var ute efter uppmärksamhet?<br />
Kanske visste hackarna att om säkerhetshålet släpptes<br />
publikt så skulle Spray omedelbart stänga luckan för utomstående.<br />
193
svenska ha c k a r e<br />
Oavsett detta så fortsatte meddelandet att cirkulera bland användarna<br />
på Flashback. I fem dagar stod samtliga konton hos ett av Sveriges<br />
största webbhotell vidöppna. Alla de drygt en miljon svenskar som<br />
hade ett mejlkonto eller en hemsida hos Spray kunde under denna tid<br />
ha fått ovälkommet besök. 117<br />
Först den 20 april bröt en av Flashbacks användare tystnaden och<br />
lade ut informationen om luckan i Sprays system publikt på forumet.<br />
Nästan omedelbart därefter upptäcktes luckan av Sprays egna IT-tekniker.<br />
Bara 20 minuter senare drog företaget i nödbromsen och stängde<br />
ned sina inloggningssystem. Kort därefter skickade Spray en skarp<br />
uppmaning till alla sina användare om att byta lösenord. Snart fick<br />
medierna korn på nyheten och slog upp intrånget stort på sina webbplatser.<br />
Sprays kundservice blev nerringd av hundratals oroliga kunder.<br />
Alltjämt upptagna med arbetet att täta luckorna gjorde företaget sitt<br />
bästa för att lugna kunder och be om ursäkt för det inträffade.<br />
Medieuppbådet kring Spray-hacket blev det största sedan VFH:s<br />
attacker mot Aftonbladet och Dataföreningen under vintern. Fredrik<br />
Pallin var informationschef på Spray vid tiden för attacken och<br />
ansvarade därmed för att hantera anstormningen av frågor från media.<br />
Under de hektiska dagarna gjorde han allt för att vara tillgänglig,<br />
svara på frågor om intrånget och försökte samtidigt få ut lite positiv<br />
information om Spray. Även i en krissituation kan publicitet vara bra<br />
publicitet.<br />
Samtidigt fanns där en smygande känsla av att öppenheten skadade<br />
mer än den hjälpte. Varje uttalande han gjorde bidrog till ännu<br />
en rubrik. I Fredrik Pallins huvud var det precis vad VFH var ute<br />
efter. Hacken skedde med ett enda syfte – att synas och bli hörda,<br />
få kredd och skryta om sina kunskaper. Ur det perspektivet kändes<br />
det nästan som att alla som talade om det gjorde sig själva en otjänst.<br />
Kanske hade det varit bättre att tiga om allting, eller åtminstone vara<br />
tydligare i sitt fördömande av det som inträffat.<br />
– Det paradoxala i sådana här attacker är att media går hackarnas<br />
ärende. De gör attacken för att få uppmärksamhet, säger Fredrik Pallin<br />
i dag.<br />
194
d a t a i n t r å n g so m sp o r t<br />
Den 31 maj släppte VFH sitt nästa zine, det tredje i ordningen om<br />
man fick tro gruppen själva. Den här gången var det <strong>Svenska</strong> kyrkan<br />
som stod högst på listan över måltavlor. »Eftersom VFH är strängt<br />
emot all form av smörjning, böneböcker och vilseledande budskap<br />
i dagens samhälle bestämde vi oss mycket tidigt i vår karriär för att<br />
motarbeta dessa vidriga as«, skrev gruppen. Teckningar av gravkors,<br />
änglar och vampyrer prydde sidorna i zinet. Därefter följde tusentals<br />
mejladresser som tillhörde <strong>Svenska</strong> kyrkan, kristna skolor och<br />
föreningar runt om i Sverige samt inloggningsuppgifter till det kristna<br />
webbföretaget Crossnets system. Som så många gånger tidigare<br />
tvingades de drabbade IT-cheferna inleda det mödosamma arbetet<br />
med att finkamma sina system efter säkerhetsluckor. I kristna medier<br />
och bloggar spekulerades det i om Vuxna Förbannade Hackare<br />
var gudshatare eller satanister. »Hackerattacken mot Crossnet hade<br />
religiösa orsaker« löd rubriken i den kristna tidningen Dagen senare<br />
under veckan. 118<br />
Nästa känga i zinet riktades mot en kär gammal måltavla. Infomaker,<br />
det företag som byggt Aftonbladets annonssystem och varit<br />
delaktigt i utredningen av VFH:s intrång hos tidningen år 2006, stod<br />
ännu en gång i skottgluggen. Den här gången hade gruppen lyckats<br />
plocka fram inloggningsuppgifter till Infomakers egna system. Hacket<br />
hade inte riktats mot enskilda tidningar och mediesajter – Infomakers<br />
kunder – utan mot företagets egen datormiljö där programmen<br />
fanns lagrade.<br />
För Anders Bjarby och hans kollegor på Infomaker var det här ett<br />
betydligt allvarligare intrång än det som skett hos Aftonbladet. Då<br />
hade hackarna hittat en lucka hos en enskild kund. Den här gången<br />
hade de, åtminstone i teorin, full åtkomst till Infomakers egen kod.<br />
Med de uppgifter som gruppen nu lagt ut på webben var det fullt<br />
möjligt att ge sig in i och skriva om den mjukvara som Infomaker<br />
levererade till flera av Sveriges största tidningar och mediesajter. Det<br />
var bland det värsta som kunde hända ett programföretag som Infomaker.<br />
Det gav hackarna möjlighet att plantera egna bakdörrar i<br />
systemen, kryphål för att ta sig direkt in i kundernas system. På In-<br />
195
svenska ha c k a r e<br />
fomakers kundlista fanns, förutom Aftonbladet, även tidningar som<br />
Dagens Industri, Göteborgs-Posten, Sydsvenskan och Upsala Nya<br />
Tidning. Anders Bjarby vågade knappt tänka på vilka konsekvenser<br />
det hade fått om VFH valt att hålla sitt intrång hemligt och i<br />
stället smugit sig in osedda i tidningarnas system. Två år tidigare, i<br />
korrespondens med Aftonbladets IT-avdelning, hade Anders Bjarby<br />
utmålat VFH som amatörer. Det påståendet fick han nu äta upp.<br />
Som en direkt följd av VFH:s publicering bestämde sig Infomaker<br />
för att gå igenom all sin programkod. Samtliga program och system<br />
som levererades av företaget skulle finkammas efter spår från hackarna,<br />
alla tänkbara säkerhetshål och bakdörrar skulle täppas till, sedan<br />
skulle nya versioner av programmen skickas ut till kunderna. Det var<br />
inget litet arbete som nu låg framför företagets tekniker. Ett modernt<br />
datorprogram består av miljontals rader kod och instruktioner. Nu<br />
skulle allt granskas med förstoringsglas i jakt efter minsta spår från<br />
ovälkomna besökare. Företagets personal genomgick nya utbildningar<br />
i IT-säkerhet och programmering, externa konsultföretag kopplades<br />
in för att dubbelkolla koden. Med egna intrångsförsök i isolerad miljö<br />
hoppades man kunna identifiera oupptäckta säkerhetsluckor i systemen<br />
och täppa till dem. Arbetet pågick under hela sommaren. Under<br />
tiden lades allt annat arbete på företaget åt sidan. Tills Infomaker var<br />
helt säkra på att hackarna var utelåsta ur systemen stod säkerhetsfrågan<br />
allra högst på företagets agenda. 119<br />
»Är det inte dags att lägga ner lekstugan?«<br />
Under våren blev det allt glesare mellan publiceringarna på Flashback,<br />
både från Vuxna Förbannade Hackare och andra hackargrupper. Vid<br />
den här tidpunkten dominerade stora, viktiga IT-frågor tidningarnas<br />
löpsedlar. Rättegången mot The Pirate Bay hade blivit en internationell<br />
nyhetshändelse. Debatten rasade kring den nära förestående<br />
FRA-lagen, som skulle ge Försvarets radioanstalt nya möjligheter att<br />
avlyssna internettrafik som rörde sig över Sveriges gränser. Ipredlagen,<br />
som gav film- och musikindustrin nya befogenheter att jaga<br />
196
d a t a i n t r å n g so m sp o r t<br />
svenska fildelare, skulle träda i kraft ett år senare men väckte redan<br />
debatt. Samtidigt höll Piratpartiet på att segla upp som en politisk<br />
kraft att räkna med. Aldrig tidigare hade internet och teknik stått så<br />
högt upp på samhällets agenda.<br />
Men på Flashback dominerade fortfarande bråkstakarna och tonårsbuset,<br />
hackargrupper som slog vitt och brett utan något annat<br />
synbart mål eller syfte än att skryta och slå sig för bröstet. Flera av<br />
forumets skribenter visade nu tecken på att ha tröttnat på hackarvågen.<br />
Pirate Bay-rättegången, Ipred och FRA-lagen var hjärtefrågor för<br />
många av forumets anhängare. Men ingen av de hackargrupper som<br />
fått så mycket uppmärksamhet under våren tycktes engagera sig.<br />
VFH hade visserligen väsnats en del kring FRA. Gruppen hade<br />
uppmanat sina anhängare att göra allt vad de kunde för att jävlas med<br />
myndigheten. »Mailbomba, skicka hotbrev, ddos:a, spräng deras lokaler«,<br />
löd uppmaningen i zine nummer tre. Men det enda gruppen<br />
själv lyckats åstadkomma var att publicera ett kreditkortsnummer<br />
som tillhörde en av myndighetens anställda. Det var på sin höjd en<br />
retsam provokation, ingenting som på något sätt kunde vända opinionen<br />
eller påverka debatten. Varför använde inte VFH sina kunskaper<br />
till något mer konstruktivt än att sänka oskyldiga sajter och<br />
skryta med sina lösenordsdumpar? »Är det inte dags att lägga ner<br />
lekstugan snart? Jag menar ni är ju inte kreativa för fem öre«, skrev<br />
signaturen Challes på Flashback kort efter att VFH publicerat sitt<br />
intrång hos Dataföreningen. 120 »Ni hade säkerligen kunna gjort något<br />
väldigt vackert med de lösenord ni kom över från dataföreningen<br />
men nej vi släpper allt på flashbacks forum ... Kom igen! Inte dags<br />
att bli lite mer politiskt medvetna och agera som vuxna än som kiddies<br />
som precis slutat bli ammade av mamma?« Mycket tyder på att<br />
VFH, som fortfarande vägrade att ge sig in i debatterna på Flashback,<br />
lyssnade uppmärksamt på kritiken.<br />
Den 17 juni 2008, dagen innan omröstningen, debatterades FRAlagen<br />
i riksdagen. De politiska partierna var mycket splittrade i frågan<br />
och den omtvistade propositionens framtid hängde på en skör<br />
tråd. Det talades om att endast fyra riksdagsledamöter från allians-<br />
197
svenska ha c k a r e<br />
partierna behövde rösta nej för att lagförslaget skulle falla. Diskussionerna<br />
i riksdagen fortsatte sent inpå kvällen innan partierna kunde<br />
enas om en kompromiss.<br />
Samma dag hade de IT-ansvariga vid riksdagen upptäckt något<br />
märkligt. Under de senaste tre dagarna hade mängder av information<br />
överöst de servrar som skötte driften av webbplatsen riksdagen.se.<br />
Riksdagens tekniker drog snart slutsatsen att det inte rörde sig om en<br />
vanlig topp i besökarstatistiken. Någon eller några försökte bryta sig<br />
in i riksdagens datorsystem. Vid lunchtid den 17 juni, samtidigt som<br />
diskussionerna kring FRA-lagen pågick för fullt inne i plenisalen,<br />
släppte riksdagens IT-säkerhetsavdelning ett mycket kortfattat pressmeddelande.<br />
Under morgonen hade riksdagens datorsystem utsatts<br />
för ett intrångsförsök. IT-säkerhetschefen Lars Grundström undvek<br />
att bekräfta om intrånget hade lyckats eller ej. De IT-ansvariga hade<br />
lyckats stoppa intrånget och säkra informationen som fanns lagrad<br />
på servrarna. Men ärendet skulle ändå polisanmälas. 121<br />
Klockan 19:25 dagen därpå samlades riksdagen för att rösta om<br />
den kontroversiella lagen. Efter två timmars diskussion stod resultatet<br />
klart: lagen antogs med siffrorna 143 röster mot 138. 122 Bara ett<br />
par timmar senare skrev VFH ett nytt inlägg på Flashback. Rubriken<br />
på det kortfattade meddelandet var »VFH – beginning of the end«.<br />
Kopplingen till den nyss avgjorda FRA-omröstningen gick inte att ta<br />
miste på:<br />
198<br />
Jaha, då var det klart. »Du gamla du fria«... Är övervakning<br />
frihet? Nej. De som röstade Ja till FRA-lagen kan räkna med<br />
att få det svårt. Ni har väldigt många fiender. Angående det<br />
»försök« till intrång som skedde mot riksdagens hemsida ger<br />
vi er följande …<br />
Återigen fanns en textfil bifogad i meddelandet. Den här gången var<br />
innehållet mer kryptiskt än tidigare. VFH:s byte var ett adressregister<br />
med namn, adress, personnummer och telefonnummer till tusentals<br />
riksdagsledamöter, både aktiva och pensionerade. Till och med
d a t a i n t r å n g so m sp o r t<br />
avlidna personer fanns med. På listan blandades nu aktiva politiker<br />
med tidigare ministrar och partiledare som Olof Palme, Anna Lindh,<br />
Gösta Bohman och Sven Aspling. Där fanns namn, personnummer,<br />
telefonnummer och hemadress, allt tydligt uppspaltat och sökbart.<br />
Inga av uppgifterna på listan var hemliga. Inte heller tycktes det vara<br />
en komplett förteckning över någonting särskilt. Av allt att döma<br />
rörde det sig om ett stulet adressregister ur riksdagens databas, kanske<br />
en bortglömd fil som någon säkerhetsansvarig missat att radera.<br />
Flashbackanvändarna drog snabbt slutsatsen att registret var ett<br />
utmärkt underlag för busringningar eller skräppost. Det var också<br />
precis vad VFH uppmanade till i sitt inlägg: »Vi ber er, svenska folket,<br />
allra ödmjukast att ta del av denna lista. Gör med den vad som<br />
behöver göras«, skrev gruppen. Samtidigt fanns en smygande känsla<br />
av att VFH kanske inte lyckats så bra med sitt senaste projekt som<br />
vid tidigare attacker. Kanske hade någonting annat varit målet, något<br />
betydligt mer smaskigt än den släppta listan. Kanske hade bytet<br />
inte blivit så imponerande som VFH hade hoppats på.<br />
Publiceringen bevisade ändå bortom allt rimligt tvivel att försöket<br />
till dataintrång som gjorts dagen innan faktiskt hade gett resultat.<br />
Vuxna Förbannade Hackare hade lyckats bryta sig in i riksdagens<br />
datorsystem. Det var något helt annat än att ge sig på tidningssajter<br />
och webbcommunityn. Nu var det skyddad kommunikation mellan<br />
politiker och riksdagsledamöter som låg i farozonen. Riksdagens polisanmälan<br />
riktades mycket riktigt till högsta ort. IT-säkerhetschefen<br />
Lars Grundström lade ärendet på Säpos bord och krävde krafttag<br />
mot hackarna. Därifrån skickades ärendet vidare till IT-brottsroteln<br />
hos Rikskriminalpolisen. Av de många förundersökningar som polisen<br />
inledde kring VFH är den kring intrånget mot riksdagen.se den<br />
enda som i skrivande stund inte är avslutad. Då brottsutredningen<br />
fortfarande pågår är polisen mycket sparsam med detaljer kring fallet,<br />
men klart är att utredarna, till skillnad från i många tidigare fall,<br />
hittat spår som bedömts vara tillräckligt intressanta för att gå vidare<br />
med och granska i detalj. 123<br />
199
svenska ha c k a r e<br />
»M3r dj3fvUl5k4p är på G«<br />
Lika plötsligt som Vuxna Förbannade Hackare dök upp på webben<br />
under nyårsnatten 2007 så försvann gruppen spårlöst efter attacken<br />
mot riksdagen.se. Gruppens sista inlägg på Flashback, där den stulna<br />
adresslistan från riksdagen fanns bifogad, är daterat den 18 juni<br />
2008. Efter det har det varit tyst. Ingen kommunikation, inga fler<br />
offentliggöranden. Kanske tröttnade gruppen på uppmärksamheten.<br />
Kanske kom polisens utredare – eller någon annan hackargrupp<br />
– personerna bakom attackerna för tätt inpå livet. Kanske förbereder<br />
VFH nya intrång i det tysta. Oavsett vilket har inte gruppens<br />
namn förekommit i något öppet sammanhang sedan den 18 juni<br />
2008. Kvar finns ändlösa spekulationer, miljontals läckta kontouppgifter,<br />
hundratals tidningsartiklar och notor på flera miljoner kronor<br />
i arvoden till de säkerhetsexperter som kallades in för att städa upp<br />
efter gruppens framfart.<br />
Vad blev resultatet av den hackarvåg som svepte över Sverige under<br />
vintern och våren 2008? Många av de drabbade talar i dag om<br />
det inträffade som en plötslig örfil som fick dem att börja ta ITsäkerhet<br />
på allvar. Anställda har i efterhand berättat om en olustig<br />
känsla som dröjde sig kvar. De som hade kommunicerat med hemliga<br />
kontakter via mejl ryste vid tanken på att någon hade tagit sig in<br />
och läst breven. Som ett direkt svar på hackarattacken stärktes skölden<br />
kring Aftonbladets datorsystem och nya säkerhetslager infördes.<br />
Det skulle inte gå att logga in hur som helst. Runt om i landet<br />
svor reportrar över hur besvärligt det nu blivit att lämna artiklar till<br />
Stockholmsredaktionen. På varje reporters skrivbord, bredvid tangentbord,<br />
pennor och anteckningsblock lades en liten grå plastdosa,<br />
nyckeln i det nya krypteringssystemet, som en påminnelse om det<br />
digitala inbrottet.<br />
Den som kanske tydligast fått känna av VFH:s framfart var Anders<br />
Bjarby på Infomaker, först i form av två katastrofala intrång<br />
mot storkunden Aftonbladet och senare mot Infomakers egna system.<br />
Han talar i dag om det hela som en väckarklocka. 124<br />
– När vi råkade ut för en attack mot våra egna servrar så vaknade<br />
200
d a t a i n t r å n g so m sp o r t<br />
vi upp på något vis, vi började tänka på de här sakerna på ett sätt som<br />
vi inte gjort tidigare.<br />
Hos Infomaker föranledde attacken en omfattande genomgång av<br />
företagets kod och produkter i jakt på fler säkerhetshål. Samma sak<br />
hände hos många av företagets kunder. Attacken mot Aftonbladet<br />
skickade chockvågor genom hela Mediesverige. På flera håll började<br />
IT-ansvariga att gå igenom sina system med ljus och lykta för att<br />
täppa till eventuella luckor. Vad hade hänt om attacken riktats mot<br />
dem i stället för mot Aftonbladet? Hur kunde de försäkra sig om att<br />
de inte skulle bli hackarnas nästa offer? Anders Bjarby berättar om<br />
hur attacken mot just Aftonbladet fick upp IT-säkerhetsfrågan högre<br />
på tidningarnas och mediesajternas agenda än någonsin tidigare.<br />
– Helt plötsligt blev våra kunder, tidningarna, villiga att betala lite<br />
mer för säkerhetsfunktioner. Tidigare hade det alltid varit viktigare<br />
att produkten släpptes i tid. Nu blev säkerhet någonting som efterfrågades.<br />
Det är naturligtvis tråkigt att vara den som drabbats, men i<br />
slutändan kanske det hela förde någonting gott med sig, säger han.<br />
Från mitten av 2006 till och med våren 2008 tog VFH på sig sammanlagt<br />
elva fall av dataintrång. Framför allt attackerna mot TV3,<br />
Aftonbladet och Dataföreningen har gått till historien som några av<br />
de mest uppmärksammade i svensk IT-historia. Aldrig tidigare hade<br />
en svensk hackargrupp vågat sig på en så uppenbar frontalattack mot<br />
etablissemanget, och aldrig med en så högljudd men svårtolkad politisk<br />
agenda som förtecken. Men trots den enorma uppmärksamhet<br />
som attackerna väckte är spåren efter angriparna mycket få. När VFH<br />
gjorde sin sista publicering i juni 2008 formligen kokade nätet av<br />
rykten. Chattkanaler och diskussionsforum fylldes av spekulationer<br />
kring vilka som ingick i gruppen. Vissa menade att Vuxna Förbannade<br />
Hackare bara var ett nytt namn på personerna i gruppen Arga<br />
Unga Hackare, som ett par år tidigare gjort sig kända genom intrånget<br />
hos den svenska filmbranschens intresseorganisation Antipiratbyrån.<br />
Andra pekade ut enskilda användare på Flashback som de<br />
skyldiga. De texter som VFH publicerat analyserades i detalj. Det<br />
vreds och vändes på formuleringarna. Det gjordes kopplingar mellan<br />
201
svenska ha c k a r e<br />
stavfel som smugit sig in i gruppens publiceringar och andra texter<br />
som cirkulerade på nätet. Kanske fanns det ett mönster som kunde<br />
avslöja författarnas identiteter? Andra gav sig på att analysera koden<br />
som använts vid intrången. Fanns det likheter med andra program<br />
och verktyg som kunde leda till personerna bakom gruppen?<br />
Kanske mest uppståndelse orsakade VFH bland de grupper som<br />
av en eller annan anledning var måna om att hålla hackandet borta<br />
från tidningarnas löpsedlar. Den enorma uppmärksamheten kring<br />
intrången hos Aftonbladet och Dataföreningen riktade strålkastarljuset<br />
mot de tekniska kryphålen i storföretagens och myndigheternas<br />
datorsystem. För de grupper som fick sina hemliga kryphål upptäckta<br />
var det enormt frustrerande.<br />
Gruppens attacker var dessutom ett solklart brott mot gammal<br />
hackarsed. VFH:s främsta drivkraft verkade vara att provocera och<br />
skapa uppståndelse. Det retade gallfeber på hackargrupper som föredrog<br />
att verka i det tysta. I nätets undre värld gick vissa så långt att<br />
de började bygga upp riktiga personakter om de som misstänktes<br />
utgöra gruppens kärna. Med en polismans precision samlades uppgifter<br />
om misstänkta i textfiler – namn, adresser, personnummer,<br />
mejlkonton och lösenord. Information som sedan spreds i slutna<br />
diskussionskanaler som underlag för vidare efterforskningar.<br />
Under vintern och våren 2008 tycktes alla krafter på nätet mobiliseras<br />
för att röka ut VFH från sitt gömställe. Okända personer planterade<br />
uppgifter hos journalister för att försöka få till ett erkännande.<br />
En frekvent postare på Flashback kontaktades vid flera tillfällen –<br />
med flera års mellanrum – av reportrar som fått anonyma tips om att<br />
han ingick i gruppen. Mannen själv dementerar uppgifterna kraftigt<br />
men har en egen tolkning av vad som höll på att hända. Någon hade<br />
lagt ut en bombmatta med rykten för att få medierna att göra jobbet<br />
och producera konkret bevismaterial.<br />
– Enkelt koncept, kontakta ett gäng reportrar anonymt, nämn ett<br />
namn och mejl för var och varje person man misstänker till var och<br />
en av reportrarna. Avvakta. Se vilken reporter som skriver en artikel,<br />
säger mannen i dag.<br />
202
d a t a i n t r å n g so m sp o r t<br />
Den allmänna uppfattningen var att VFH bestod av en grupp tonåringar<br />
med stort självhävdelsebehov. Flera viktiga detaljer talar emot<br />
det. Polisens förundersökningsmaterial belägger att gruppens första<br />
intrång hos Aftonbladet skedde nästan två år innan hacket offentliggjordes.<br />
Det tyder på disciplin och målmedvetenhet. Hade syftet<br />
bara varit att skapa uppmärksamhet hade gruppen sannolikt släppt<br />
uppgifterna på en gång. Dessutom var den tekniska nivån i gruppens<br />
attacker generellt hög. För de insatta var det klart att VFH satt<br />
på större kunskaper än de »script kiddies« som förlitar sig på färdiga<br />
program och redan kända säkerhetsluckor i sin jakt på webbplatser<br />
att knäcka.<br />
Men kanske mest förbluffande är gruppens förmåga att hålla på<br />
hemligheten om vilka medlemmarna var. Flera saker talade för att<br />
det skulle läcka ut. Flera personer var inblandade, vilket vid andra<br />
brott är ett säkert recept för att någon ska prata bredvid mun efter<br />
en öl för mycket. Ett skriande behov av att visa upp och skryta<br />
med fulländade uppdrag, men VFH tycks ha varit helt nöjda med att<br />
skrävlet kastade ljus över deras alternativa personligheter. Dessutom<br />
fruktade inte gruppen uppmärksamheten. Varje rubrik, varje ny polisutredning<br />
och varje förkrossat offer tycktes bara elda på viljan att<br />
knäcka ännu fler system. Sammantaget skapar det bilden av att gruppen<br />
agerade i en tysthetskultur som inte ligger maffian långt efter,<br />
där tjallandet eller att bara säga lite för mycket till fel person är ett<br />
absolut tabu.<br />
Bortom de uppenbara skrytsamheterna är även språket i gruppens<br />
publiceringar förvånansvärt utstuderat. Blinkningarna till 1980- och<br />
1990-talens zine-kultur är många, inte minst traditionen att blanda<br />
krönikematerial och ren poesi med tekniskt innehåll. Kanske var<br />
ungdomstugget en fasad, ett noga iscensatt skådespel för att leda<br />
spekulationerna åt fel håll? Kanske bestod kärnan i VFH inte av<br />
ungdomar utan av nostalgiska hackarveteraner med god känsla för<br />
dramatik. Flera diskussioner om gruppen landade i att det hela var<br />
ett skådespel, kanske till och med ett utstuderat skämt. En ironisk<br />
konstruktion iscensatt för att driva med nidbilden av den ensamme,<br />
203
svenska ha c k a r e<br />
frustrerade tonårs<strong>hackare</strong>n. Attackerna mot SSU och LO under 2006<br />
och 2007 förstärker den bilden ytterligare. Gruppen hävdar att man<br />
där lade ut medvetna villospår för att »testa« kompetensen hos polisens<br />
utredare. Resultatet av den nu nedlagda förundersökningen ger<br />
visst stöd åt det påståendet. Med facit i hand framstår påståendena<br />
i början av 2007 som en kuslig förvarning om de miljoner användarkonton<br />
som skulle hackas under de kommande åren. Den långa<br />
framförhållningen tyder på att personerna bakom attackerna redan<br />
då visste precis vad de höll på med, att det hela var en noga planerad<br />
attack mot utvalda måltavlor. Om det stämmer så hade VFH förberett<br />
hackarvågen i detalj långt innan man skred till verket under<br />
nyårsnatten 2008. Under minst två års tid hade angriparna samlat på<br />
sig tillgång till knäckta system, inloggningsuppgifter och stulna databaser<br />
för att sedan släppa allting under vintern och våren 2008.<br />
Oavsett vilka personer som utgjorde VFH så har de döljt sina spår<br />
väl. Hittills har ingen trätt fram och tagit på sig ansvaret för de många<br />
attacker som gruppen genomförde. I arbetet med den här boken har<br />
vi vid flera tillfällen sökt kontakt med VFH via de platser på nätet där<br />
gruppen har figurerat. Via betrodda kontakter har vi förmedlat frågor<br />
till gruppen, men aldrig fått något svar. Flera gånger har spåren<br />
lett oss till enskilda personer, men våra närmanden har bemötts med<br />
kraftiga dementier eller av kompakt tystnad.<br />
Vid ett enda tillfälle får vi kontakt med gruppen. Efter att ha sökt<br />
hackarna i månader landar ett nytt meddelande i vår inbox på Flashback.<br />
Avsändaren är VFH – samma konto som de använde för sina<br />
publiceringar under vintern och våren 2008. Kontot har inte använts<br />
på mer än två år. Nu har någon loggat in och skickat ett meddelande.<br />
Men i stället för att svara på våra frågor skickar gruppen över en retsam<br />
smiley. Sedan blir det tyst.<br />
Kanske har medlemmarna i VFH vuxit upp. Kanske skäms de i<br />
dag över den skada de ställde till med för ett par år sedan, och vill<br />
helst glömma alltihop som pinsamma pojkstreck. Kanske planerar de<br />
nya attacker, och är ännu inte redo att ge sin version av en historia<br />
som de själva inte anser är avslutad.<br />
204
d a t a i n t r å n g so m sp o r t<br />
Inte heller polisen är närmare att nå fram till gruppen i dag än<br />
de var för två år sedan. Utredningen kring intrånget på riksdagens<br />
webbplats pågår fortfarande, men förhoppningen om att de spår som<br />
finns kvar ska leda någon vart är liten. Alla andra utredningar kring<br />
gruppen är sedan länge nedlagda och begravda i polisens arkiv. Ingenstans<br />
har polisens utredare lyckats hitta några spår att gå vidare<br />
med. Inget av företagen som drabbades lyckades dra några egna slutsatser<br />
i frågan om vem som låg bakom, eller etablera kontakt med<br />
hackarna på egen hand.<br />
Vuxna Förbannade Hackares sista zine avslutas med en varning:<br />
Tidigare i år skrev vi följande: »MYNDIGHETER, SKO-<br />
LOR, MEDIA, RELIGION OCH ANNAT SKIT SOM<br />
ENDAST FINNS TILL FÖR ATT KUVA DEN ENSKIL-<br />
DE INDIVIDEN -- ALLT JÄMNAR VI MED MARKEN I<br />
HOPP OM EN BÄTTRE MORGONDAG.«<br />
Har under året delat med oss lite av vad vi samlat på oss,<br />
men det är bara en bråkdel av vad som finns... m3r dj3fvUl5k4p<br />
är på G!<br />
+----VFH-CH3CKL157-(l33t)-----+<br />
| |<br />
| [x] MYNDIGHETER |<br />
| [ ] SKOLOR |<br />
| [x] MEDIA |<br />
| [x] RELIGION |<br />
| |<br />
+-----VFH-CH3CKL157-(l33t)----+<br />
Vad nästa zine kommer att handla om är därmed ett faktum.<br />
ELLER INTE.<br />
Gruppen har ännu inte gjort verklighet av sitt sista hot.<br />
205
Utan ansikte<br />
»Att umgås med människor är något jag har fått lära mig«<br />
DE haDE KäNt varandra i ett halvår, utväxlat mängder med elektroniska<br />
meddelanden men aldrig träffats ansikte mot ansikte. Hon var<br />
en tjej vid norrlandskusten, han en något äldre kille några mil bort.<br />
De pratade med varandra via en BBS långt innan ord som mejl eller<br />
e-post blev allmänt kända. Med tiden hade de fått en speciell kontakt.<br />
Framför sina skärmar berättade de sådant som två nya vänner<br />
inte hämningslöst skulle ha berättat om mötet skett någon annanstans.<br />
Så gott som varje dag efter skolan smög hon bort till datorn i<br />
hennes pappas arbetsrum för att kolla vilka som hört av sig. Då och<br />
då fanns där ett nytt meddelande från honom, vissa dagar kort och<br />
vissa dagar längre.<br />
Som med alla berättelser där en del utelämnas så fyller hjärnan i<br />
mellanrummen själv. Med lika delar fantasi och fakta hade hon byggt<br />
upp en bild av honom: kopplat kött, blod och utseende till orden<br />
han skrev. Var han snygg? Lång? Tjock? Ensam? Hade han glasögon?<br />
Efter all korrespondens tyckte hon ändå att hon kände honom bättre<br />
än många av de personer hon träffade varje dag.<br />
Så kom den här dagen. Välbekanta rader på skärmen signalerade<br />
att ännu ett meddelande väntade. Hon skummade igenom texten.<br />
En bit in släppte han i förbifarten en tidigare okänd detalj om sig<br />
själv: han var blind sedan födseln.<br />
Scenen i det lilla norrländska samhället utspelade sig under tidigt<br />
1990-tal. Ett drygt decennium tidigare hade Gunnar Tidner visat<br />
207
svenska ha c k a r e<br />
upp ABC-klubbens BBS Monitor för första gången. Inför de storögda<br />
KTH-studenterna kopplade han upp sig mot en annan dator<br />
hemma i Täby, där hans fru Mait satt vid tangentbordet och svarade.<br />
Uppvisningen gick ut på att en enkel fil skickades via telefonnätet.<br />
Men kanske var det också någonting annat som fick ett sus att gå<br />
genom publiken. Det var ju helt omöjligt att se personen på den<br />
andra sidan.<br />
Mötet mellan tonårstjejen i Norrland och den blinde killen är bara<br />
ett exempel på hur nätet gjorde att mängder med människor möttes<br />
på helt andra villkor än tidigare. Plötsligt blev den verkliga världens<br />
statusmarkörer – utseende, dialekt, handikapp, klädval – oviktiga.<br />
De syntes ju inte längre.<br />
Några år senare startades tusentals BBS:er i pojk- och i några fall<br />
flickrum runt om i Sverige. Just möjligheten att vara anonym blev<br />
för många den kanske främsta tjusningen. Bakom elektronikens skyddande<br />
slöja började användarna bygga upp alter egon, personligheter<br />
under nya fiktiva namn som hämtade från science fiction eller andra<br />
påhittade världar. För vissa var det en säkerhetsåtgärd – piratkopiering,<br />
dataintrång och virusspridande måste göras i hemlighet. För andra var<br />
det ett sätt att fly vardagens tristess och föräldrarnas tjat in i en ny<br />
värld, en plats där man fick vara någon annan. Väl upparbetat kunde<br />
ett handle framstå som en hel person, med makt, kunskap och en status<br />
som personen bakom smeknamnet inte hade någon annanstans.<br />
Den som lyckades blev en stjärna, kanske bara för de invigda inom<br />
en speciell krets, men ändå en stjärna. Bäst på att programmera, skickligast<br />
på att sprida fruktade virus eller den första med de senaste, mest<br />
eftertraktade piratkopierade spelen. Hackarvärlden har sedan de tidiga<br />
dagarna varit en utpräglad meritokrati, en kultur där du är vad du kan<br />
– där vardagens statussymboler inte spelar någon som helst roll. Med<br />
ett snabbt knäckt kopieringsskydd eller ett imponerande genomfört<br />
dataintrång kunde den tidigare okände snabbt stiga i graderna och få<br />
respekt. Med respekt följde tillgång till nya kretsar och insyn i tidigare<br />
stängda kanaler. Ett handle, det alias en <strong>hackare</strong>s identitet skapas<br />
kring, byggs som vilket annat varumärke som helst.<br />
208
u t a n an s i k t e<br />
Andra drogs till BBS-världen och till det framväxande internet av<br />
helt andra orsaker. Den som under det tidiga 1990-talet följde de<br />
stora tidningarnas rapportering om nätet kunde lätt få bilden av en<br />
depraverad sekt. Allt tycktes handla om pornografi, morbida bilder<br />
från olycksplatser och sjuka människor som sökte offer för övergrepp.<br />
Bilden var givetvis överdriven, men möjligheten att dölja sin identitet<br />
lockade fram alla tänkbara sidor hos de människor som kastade sig<br />
över den nya tekniken. Inget teveinslag i den tidiga rapporteringen<br />
om BBS-världen var komplett utan att reportern ställde en systemoperatör<br />
mot väggen. Fanns det barnporr på basen?<br />
Än i dag lever anonymitetskulten kvar. I allt från artikelkommentarer<br />
på de stora tidningarnas webbplatser till de mest slutna chattkanalerna<br />
där kriminella <strong>hackare</strong> umgås är det via handles kommunikationen<br />
sker. På webbforumet Flashback är det mesta tillåtet – här<br />
avslöjas brottsmisstänktas namn och personuppgifter på löpande<br />
band – men att röja en forummedlems identitet är ett tabu som leder<br />
till omedelbar avstängning. Många framstående <strong>hackare</strong> nämner<br />
möjligheten att vara anonym som en viktig orsak till att de i låg ålder<br />
drogs till datorer och elektronisk kommunikation. Det gäller långt<br />
ifrån bara de kriminella elementen i kulturen. Även den som intresserar<br />
sig för grafik eller oskyldig programmering agerar ogärna under<br />
samma namn som står i passet. Det är ju förknippat med ett vanligt<br />
liv, artistnamnet med bedrifterna på nätet.<br />
När medelsvensson gav sig ut på nätet på 1990-talet anammades<br />
vanan med en alternativ nätpersonlighet på bred front. Många valde<br />
namn som var söta eller exotiska snarare än <strong>hackare</strong>stetiskt aggressiva.<br />
Men få tänkte på att den som kallade sig BabyBear81 agerade i<br />
en gammal tradition byggd av <strong>hackare</strong> i årtionden. Det vore en grov<br />
överdrift att av detta dra slutsatsen att alla som skriver på nätet under<br />
ett alias skulle vara <strong>hackare</strong>, men just traditionen med alternativa<br />
personligheter är sprungen direkt ur denna mycket speciella kultur.<br />
Det var inte förrän Facebook fick sitt genombrott några år in på<br />
2000-talet som det blev regel snarare än undantag att verka under sitt<br />
riktiga namn även på nätet.<br />
209
svenska ha c k a r e<br />
I arbetet med den här boken har vi i flera månader sökt kontakt<br />
med den mytomspunna gruppen Vuxna Förbannade Hackare. Vi<br />
har samtalat med personer som rört sig i samma kretsar som dem,<br />
sökt kontakt med individer som vi fått veta ska ha insyn i attackerna<br />
mot Aftonbladet under vintern 2008. De flesta samtalen har skett<br />
via IRC, i kanaler och på servrar där vi vet att gruppens medlemmar<br />
brukar befinna sig. Ibland har vi blivit kontaktade av folk vi inte känt<br />
till sedan tidigare, personer som antytt för oss att de sitter på värdefull<br />
information om gruppen eller att de till och med själva varit med<br />
i den. Vissa gör klart att de rör sig i samma kretsar som de <strong>hackare</strong><br />
vi söker efter, men svarar gåtfullt och tvetydigt på våra frågor. Andra<br />
ryggar tillbaka, svarar motvilligt och korthugget eller kopplar ner sig<br />
direkt när vi ansluter till chattservern. »Det snackas en del om er och<br />
er bok«, får vi höra.<br />
Ibland blir vi osäkra på vem vi egentligen pratar med. Identitet<br />
blir ett flyktigt begrepp när det inte betyder någonting mer än en ipadress<br />
och ett taget smeknamn, som båda kan bytas ut med ett par<br />
knapptryckningar inom loppet av ett par minuter. Någon har gett<br />
oss ett handle att söka efter på en viss server, men vad vet vi egentligen<br />
om den vi får kontakt med? Vi vet vad personen kallar sig på nätet.<br />
Vi kan se vilken serveradress uppkopplingen kommer från. Men<br />
minst en gång misstänker vi att vi i själva verket bara pratar en andra<br />
gång med den person som nyss tipsade oss – att samma person sitter<br />
bakom samma tangentbord men nu uppträder under ny identitet.<br />
Det är inte ovanligt att <strong>hackare</strong> bollar med flera identiteter samtidigt.<br />
Ett alias för att umgås med vännerna, spela spel och signera program.<br />
Ett annat för ljusskygga eller rent av olagliga projekt.<br />
Ibland känns det som att vi pratar med fantomer, ansiktslösa<br />
smeknamn som enbart existerar när vi slår på våra datorer och kopplar<br />
upp oss mot IRC. Ingen vill skylta med sitt riktiga namn. Ingen<br />
vill berätta för oss vem de egentligen är eller var de befinner sig. Vid<br />
flera tillfällen skrattar vi uppgivet åt vår egen paranoia. Hur vet vi att<br />
det är samma person bakom tangentbordet den här gången som sist<br />
vi pratade med vår källa? Handlet är det samma, men det betyder<br />
210
u t a n an s i k t e<br />
ju inte särskilt mycket. Svaret på frågan om vi pratat med Vuxna<br />
Förbannade Hackare är att vi helt enkelt inte vet. »Ni har nog redan<br />
pratat med dem«, säger en <strong>hackare</strong> som enligt många haft samröre<br />
med gruppen när vi ger uttryck för vår frustration. »Ni har nog redan<br />
pratat med dem, utan att veta om det själva.«<br />
Frågan är naturligtvis om det spelar någon roll. Den identitet en<br />
<strong>hackare</strong> iklär sig på nätet kan skilja sig så dramatiskt från den person<br />
de är när datorn är avstängd att uppgifter om jobb, familj, bakgrund<br />
och intressen nästan kan sägas handla om en annan människa. Hos<br />
de som agerar anonymt och genom en alternativ identitet under flera<br />
års tid uppstår i vissa fall någonting som närmast kan liknas vid en<br />
personlighetsklyvning. En annan moral, ett annat sätt att uttrycka sig<br />
och ett annat förhållningssätt till världen än i livet utanför internet.<br />
Hackaren Stakkato var aggressiv och grälsjuk, en efterspanad brottsling<br />
och ett hot mot rikets säkerhet enligt de amerikanska myndigheterna.<br />
Philip Pettersson var en sextonårig skolelev i Uppsala som<br />
gillade teveserien Jackass och hade Alphaville i musiksamlingen. Två<br />
identiteter i en kropp. Vilken av dem är mest verklig?<br />
Då och då lyfts slöjan som håller en <strong>hackare</strong> anonym och människan<br />
bakom ett handle exponeras. Redan på 1980-talet möttes entusiaster<br />
och tidiga <strong>hackare</strong> på demopartyn. Det var samma sorts<br />
träffar som senare vuxit till sammankomster som Dreamhack, och<br />
som närmast kan liknas vid datorvärldens motsvarighet till musikfestivaler<br />
som Hultsfred eller Roskilde. Ordet demoparty kommer från<br />
en gammal tradition inom piratkopiering av spel. Tidiga grupper<br />
som specialiserade sig på att knäcka kopieringsskydd ville ha ära och<br />
berömmelse för sina bedrifter och började förse de knäckta spelen<br />
med korta introduktionsfilmer med gruppens namn och gruppmedlemmarnas<br />
alias. Dessa demonstrationer – demon – var ofta tekniskt<br />
mycket imponerande skapelser. Syftet var ju att visa upp gruppens<br />
kunskaper inom programmering, grafik och musikskapande. De blev<br />
med tiden till något av en konstform i sig, inte bara en biprodukt av<br />
piratkopieringen, och snart började grupper göra demon för sakens<br />
egen skull. Ett demoparty var höjdpunkten efter en period av frene-<br />
211
svenska ha c k a r e<br />
tiskt kodande. Där visade rivaliserande grupper upp sina alster för<br />
varandra, på storbildsskärm och med musiken dunkandes ur stora<br />
högtalare. Ofta avslutades helgen med en tävling inför publik, där<br />
bidragen möttes av antingen jubel eller hånfulla skratt.<br />
Demopartyn – eller copypartyn som de kallades om fokus låg på<br />
att byta filer med varandra – innebar att deltagarna släpade med sig<br />
sina egna datorer till en given lokal, inte sällan ett källarutrymme<br />
eller en gymnastiksal på den lokala högstadieskolan, kopplade upp<br />
maskinerna mot ett lokalt nätverk och satt framför sina skärmar tills<br />
helgen var slut. På senare år har båda begreppen blivit mindre vanliga.<br />
I stället kallas träffarna, små som stora, för LAN-partyn. Ordet<br />
kommer av det engelska uttrycket för ett lokalt nätverk, local<br />
area network. Antalet deltagare vid de första tillställningarna kunde<br />
räknas i dussintal, men utvecklingen har varit explosionsartad. Vintern<br />
2010 utropade svenska Dreamhack i Jönköping sig som världens<br />
största datorfestival med 13 608 besökare. Samtidigt för demoskapandet<br />
en tynande tillvaro på träffarna. I dag ligger fokus vid de flesta<br />
LAN-partyn på spel.<br />
Tävlingsandan i demokulturen var påtaglig. Inte sällan blev rivaliteten<br />
hård mellan olika grupper. Men för besökarna var träffarna inte<br />
bara ett tillfälle att tillbringa en hel helg framför datorn, vräka i sig<br />
skräpmat och byta filer med varandra. Det var också en sällsynt chans<br />
att träffa sedan länge bekanta ansikte mot ansikte, se vem som stod<br />
bakom ett välkänt handle. På plats gick det inte längre att gömma<br />
sig bakom ett anonymt, påhittat namn. Utseende, dialekt, sätt att<br />
föra sig bland människor – egenskaper som varit osynliga framför<br />
skärmarna – blev plötsligt uppenbara. Den kaxigaste programmeraren<br />
kunde visa sig vara en lågmäld kille med talfel, den ödmjuka och<br />
trevliga grafikern en bufflig grabb med begynnande skäggväxt (tjejer<br />
var mycket sällsynta, även om upp mot var femte deltagare på Dreamhack<br />
i dag är kvinna). Men när två personer som lärt känna varandras<br />
nätpersonligheter möttes på ett demoparty var myten redan<br />
etablerad. Ofta brydde de sig inte ens om att lära sig varandras riktiga<br />
namn. Ett rykte som god programmerare eller skicklig <strong>hackare</strong> levde<br />
212
u t a n an s i k t e<br />
vidare i den fysiska världen. Bedriften kom först, personen efteråt.<br />
I den delvis fiktiva men sanningsbaserade boken S.H.A – hackargruppen<br />
som skakade Sverige beskriver författaren Jan Svensson hur det<br />
kunde gå till. På ett demoparty i en helgstängd förskola möter en av<br />
hackarna i boken någon han tror att han känner sedan tidigare. »Heretic?«<br />
frågar han, helt ointresserad av <strong>hackare</strong>ns riktiga namn.<br />
»Eh, ja?« svarade figuren misstänksamt.<br />
»Tjena, läget«, jag är Five Days!<br />
»Ser man på.«<br />
Figuren verkade en smula tafatt. Five Days försökte sig på ett<br />
slags skämt:<br />
»Codat nåt?« »Nehej du, orkar inte me sånt längre...«<br />
Han fattade inte.<br />
»... letar efter Dare Devil, skulle vara här någonstans, haru<br />
sett han?«<br />
»Tror han sitter i samma rum som Science.«<br />
»Coolt. Rusar dit. Synes«, och sedan försvann han vidare<br />
uppför trappan.<br />
Heretic brydde sig inte det minsta om vem Five Days var i verkligheten.<br />
Det var ju Five Days från BBS:erna han kände och brukade<br />
prata med – en skicklig och kvicktänkt <strong>hackare</strong>, inte en fumlig och<br />
osäker tonåring. Många som agerar under ett taget namn på nätet<br />
kan känna igen sig i situationen. Det första mötet, ansikte mot ansikte<br />
med vännerna på nätet, blir ofta obekvämt.<br />
Anonymitetskulturen ställs på sin spets när en <strong>hackare</strong> ägnar sig<br />
åt direkt kriminell verksamhet. Mängder med brottsutredningar har<br />
stannat vid ett anonymt handle. På polisens bord finns en komplett<br />
kartläggning av förövaren med mängder av information om intrång,<br />
tillvägagångssätt, distinkta personlighetsdrag. Till exempel »visst uttryck<br />
för narcissism och odödlighet«, som en privatspanare antecknade<br />
under en pågående utredning av en svensk <strong>hackare</strong>. Men kartläggningen<br />
är ofta kopplad till ett anonymt alter ego, utan några som<br />
213
svenska ha c k a r e<br />
helst spår till en person i den verkliga världen. Den verkliga förövaren<br />
kan lika gärna vara en ung skolpojke som en äldre veteran eller högt<br />
uppsatt säkerhetskonsult. Eller kanske polismannen på andra sidan<br />
skrivbordet.<br />
När de svenska och amerikanska utredarna kunde spåra <strong>hackare</strong>n<br />
Stakkato till ett pojkrum i Uppsala drogs en lättnadens suck på båda<br />
sidor av Atlanten. Tidigare hade ingen vetat vem eller vilka som dolde<br />
sig bakom det ökända aliaset. Kinesiska eller ryska spioner? Terrorister<br />
på väg att slå ut hela internet? Vad som i vissa kretsar hade börjat<br />
betraktas som en digital krigsförklaring mot USA visade sig vara en<br />
tonårings lek med tekniken.<br />
I fallet med Vuxna Förbannade Hackare kom aldrig det genombrottet.<br />
I polisens arkiv finns tusentals sidor med förundersökningsmaterial,<br />
kompletta personakter och mängder av uttalanden från de<br />
misstänkta brottslingarna. Fullständiga gärningsmannaprofiler som,<br />
om det varit brott som begåtts i den fysiska världen, utan tvekan<br />
hade räckt till fällande domar. Men ingenting av det går att koppla<br />
till verkliga personer. Ingenstans har utredarna lyckats ta klivet från<br />
den digitala världen och ut i den fysiska verkligheten, från anonyma<br />
handles till personer av kött och blod. Utanför nätet var det som att<br />
hackarna inte existerade alls.<br />
Kontrasten till annan brottslighet är tydlig. En bankrånare försöker<br />
alltid lämna en ren brottsplats efter sig. Om spår ändå hittas så<br />
ger de ledtrådar om en människa, om vems ansikte som finns bakom<br />
rånarluvan. Bit för bit lägger polisen pusslet och gärningsmannens<br />
konturer börjar växa fram. Hackare lämnar ofta tydliga spår efter sig i<br />
form av signaturer och klotter, men det är så gott som alltid spöklika<br />
avtryck från en identitet som inte existerar i verkligheten. Oavsett<br />
hur bra bevisen är så kan ett handle inte ställas inför rätta.<br />
Lika väl som nätets skynke av anonymitet kan dölja hårfärg och<br />
verkliga namn öppnar det också för den som vill dölja sitt kön. I vissa<br />
typer av onlinespel är killar som skapar sig kvinnliga spelkaraktärer<br />
ett välkänt fenomen. När vi gav oss in i de kretsar som den här boken<br />
handlar om mötte vi den omvända motsvarigheten: kvinnliga hacka-<br />
214
u t a n an s i k t e<br />
re som medvetet undviker att beskriva sina alternativa personligheter<br />
som tjejer för att bli accepterade av andra <strong>hackare</strong>. Hur många de är<br />
kan omöjligen slås fast utan att anonymitetens skyddande lager rivs.<br />
De personer som varit inblandade i de senaste årens stora dataintrång<br />
är av naturliga orsaker mycket försiktiga med uppgifter som kan leda<br />
fram till fysiska personer. Bland dem kan det finnas tonåringar som<br />
inte ens gått ut skolan, veteraner gamla nog att vara föräldrar åt de<br />
yngre och mitt i den grabbiga jargongen också kvinnliga <strong>hackare</strong> som<br />
uppträder som män.<br />
Maria är en av de som bland andra <strong>hackare</strong> inte bara agerat under<br />
ett påhittat namn, utan också har skapat sig en alternativ, könlös<br />
personlighet.* I dag är hon drygt 20 år gammal och studerar datavetenskap.<br />
På bilder syns hon med sitt burriga mörka hår hängande ner<br />
framför ögonen, ofta klädd i svart. I flera år rörde hon sig i kretsar<br />
av <strong>hackare</strong> där vissa inte drog sig för att gå långt över vad lagen tillät,<br />
bara för lusten att utforska, eller av begär efter stulna klenoder att visa<br />
upp. Själv hade hon vänt sig till datorer redan när hon var liten, driven<br />
av ett brinnande intresse för siffror, uträkningar och maskinernas<br />
logiska uppbyggnad. Redan som barn kunde hon sitta försjunken i<br />
siffrornas mystik och lösa uträkningar på en nivå som var långt över<br />
vad som var normalt i hennes ålder. Det var någonting magiskt över<br />
talen, deras perfekta logik. De svek aldrig, blev aldrig fel utan en rationell<br />
orsak och kom aldrig med krav eller anklagelser.<br />
Maria var ett ensamt barn, utan särskilt många vänner. Efter skolan<br />
drog hon sig gärna tillbaka, räknade och höll sig för sig själv. Mycket<br />
i skolan och i kontakterna med de andra barnen framstod för henne<br />
som närmast obegripligt. Deras intressen och allt de trodde på saknade<br />
så gott som alltid rationell grund. Hon minns särskilt en händelse<br />
i fyran på mellanstadiet, när hela klassen plötsligt började tro<br />
på troll. Det hade föregåtts av att ett av skolbarnen bestämt hävdade<br />
att hon sett någonting märkligt i skogen. Lockade av mystiken drogs<br />
* Maria heter egentligen någonting annat och vill inte figurera i den här boken med sitt<br />
riktiga namn.<br />
215
svenska ha c k a r e<br />
de andra med, och snart såg barnen märkliga varelser runt varje hörn.<br />
De gav sig ut i skogen, skrev meddelanden på träd och byggde små<br />
hus för att blidka trollen. Alla utom Maria, som förbluffat stod vid<br />
sidan av och såg hur klasskamraterna kastade sig in i det hela. Hennes<br />
invändning var enkel men inte typisk för ett barn i den åldern: Inget<br />
av det där kan bevisas!<br />
– Jag låg alltid en årskurs före de andra i brist på annat att göra.<br />
Det kändes skönt att det var logiskt, någonting jag förstod mig på till<br />
skillnad från mycket som hände i skolan. Som det där med trollen.<br />
Jag pallade inte med det. Då räknade jag hellre matte.<br />
Det hade nog varit enklare att acceptera om hon hade varit kille,<br />
säger hon i dag. Att vända ryggen åt skolgårdens krav och snöa in på<br />
matematik och datorer anses av många vara mer normalt för unga<br />
män och pojkar. I skolan såg Maria hur de andra tjejerna ansträngde<br />
sig till bristningsgränsen för att passa in, hur de vände ut och in på<br />
sina personligheter för att få vänner och tillhöra gemenskapen. Maria<br />
kunde inte, eller ville inte, göra samma sak.<br />
Som så ofta var det Marias pappa som introducerade henne för<br />
datorer. Hon hade sett honom sitta framför den svårbegripliga maskinen,<br />
tyst i långa perioder med skärmens sken mot ansiktet. När<br />
hon själv började experimentera med den gick det snabbt. Hon slukade<br />
all information om hur den fungerade som hon kunde komma<br />
över. BBS:ernas dagar var sedan länge passerade när Maria tog sina<br />
första steg in i datorns värld. Nya vänner på internet fick ersätta de<br />
hon aldrig fått kontakt med i sitt vanliga liv. Hetsen att bli bäst passade<br />
henne perfekt, så länge allt handlade om kod, siffror och perfekt<br />
logik.<br />
– Jag går under om jag ber om hjälp innan jag har försökt tills<br />
håret lossnar, en egenskap som inte alltid är uppskattad. Jag har till<br />
exempel sällan jobbat i grupp, inte ens på högskolan.<br />
De första åren hade hon delat en dator med resten av familjen, ingen<br />
idealisk situation för en blivande <strong>hackare</strong>s experimentlusta. Hon<br />
ville installera flera, mer avancerade system än Windows nedlåtande<br />
peka och klicka-miljö. När hon i högstadiet till slut kom över en egen<br />
216
u t a n an s i k t e<br />
laptop så proppade hon den full med långt fler operativsystem än vad<br />
som var nödvändigt för vanligt arbete. Datorn var sprängfylld och<br />
Maria hade fått en egen maskin att utforska.<br />
Via tips från kompisar snokade hon upp några av de verkligt hemlighetsfulla<br />
chattkanalerna, där <strong>hackare</strong> träffades och diskuterade de<br />
senaste sårbarheterna i olika system. Där pratades om säkerhetsluckor<br />
som IT-företagen själva ännu inte hade upptäckt. Program och<br />
metoder för att utnyttja dem bytte händer. En helt vanlig dag kunde<br />
den som fått tillträde till kanalen se mängder med hemlig information<br />
om några av de mest använda datorsystemen på nätet rinna förbi<br />
på skärmen. För vissa handlade det om viljan att lära sig mer om datorer<br />
och nätverk för sakens egen skull, för andra om att lära sig begå<br />
allvarliga brott för egen vinning.<br />
I kanalerna ställdes två stenhårda krav på alla närvarande: obligatorisk<br />
anonymitet och anpassning till en strikt hierarki. Att skydda<br />
sin verkliga identitet var inte bara något hackarna gjorde för sin egen<br />
skull. Den som anslöt sig från en adress som inte var uppenbart fejkad<br />
kastades ut. Signalen var tydlig: här platsade inte den som inte<br />
kunde mer än att plugga in en dator i väggen och koppla upp sig.<br />
Här spelade det ingen roll vem du var på jobbet eller i skolan. Den<br />
andra regeln var inte uttalad, men inte mindre tydlig för de initierade.<br />
Som ny höll man tyst medan de skickligaste satte agendan. Att<br />
utge sig för att kunna mer än man egentligen kunde var den största<br />
dödssynden av dem alla. Tomt snack var mer än tillräckligt för att<br />
bli utesluten ur kanalen för all framtid. Man hävdar sig inte om man<br />
inte vet att man är riktigt duktig, som Maria säger. Däremot kunde<br />
de som utmärkt sig som skickliga <strong>hackare</strong> sätta sig på hur höga hästar<br />
som helst.<br />
– Det tog flera månader innan jag sa någonting. Inte ens då pratade<br />
jag mycket. Jag ville ju inte skämma ut mig.<br />
Men genom att läsa det andra skrev och testa själv lärde sig Maria.<br />
Som tonåring kunde hon tillräckligt för att angripa en dator, sänka<br />
en internetuppkoppling och vara allmänt jävlig. Mest var hon ute<br />
efter respekt, »att bli fruktad«, som hon säger. Någon gång irriterade<br />
217
svenska ha c k a r e<br />
hon sig på en jämnårig kille i skolan. Med hjälp av ett lösenord hon<br />
kommit över tog hon och några av de nyfunna vännerna på nätet sig<br />
in i hans dator.<br />
– Han blev det första offret. Det var egentligen inte meningen att<br />
vi skulle radera hela hans hårddisk. Men jag och de andra peppade<br />
varandra. Vi hade tagit bort alla spår som visade att vi hade varit inne<br />
i hans dator, någon skrev ett kommando som skulle ta bort allt han<br />
hade, mest på skoj. Och så tryckte någon på enter och uppkopplingen<br />
bröts.<br />
En annan gång var hon med och slog ut uppkopplingen till ett<br />
LAN-party genom en överbelastningsattack. Via sina datorer instruerade<br />
Maria och hennes kumpaner stora datorsystem de kontrollerade<br />
ute på internet att överösa lokalens uppkoppling med skräpinformation<br />
tills den inte klarade av att hantera det längre. Anslutningen<br />
klipptes och utan att avslöja någonting reste sig hackarna, spelade<br />
irriterade och sa »det finns ju inte ens något internet här«. Ingen<br />
runt omkring kände till vad som hade hänt, men själva bar de på den<br />
känsla av makt det medför att ta kontroll över ett nätverk och få det<br />
att sluta fungera med bara ett par knapptryckningar.<br />
Maria är försiktig med att berätta om de större hacken hon varit<br />
inblandad i. Klart är dock att ju mer hon var med om desto lättare<br />
blev det att hävda sig i