Tilläggsprotokoll. till 0201-K Beslag Målsägande vill bli underrättad om tidpunkt för huvudförhandlingen

Storlek: px
Starta visningen från sidan:

Download "Tilläggsprotokoll. till 0201-K81864-12. Beslag Målsägande vill bli underrättad om tidpunkt för huvudförhandlingen"

Transkript

1 Plismyndighet Stckhlms län Enhet LU/IT!T-frensisk sektin Handläggare (Prtkllförare) Kriminalinspektör Olle Wahlström Undersökningsledare Kammaråklagare Henrik Olin Plisens diarienummer 0201-K Förtursmål l Nej Ersättningsyrkanden Tilläggsprtkll till 0201-K Aklnr AM Signerat av Signerat datum Datum Beslag Målsägande vill bli underrättad m tidpunkt för huvudförhandlingen Nej Tlk krävs Misstänkt {Efternamn ch förnamn) Persnnummer Svarthlm W arg, Per Gttfrid Brtt Underrättelse m utredning enligt RB 23:18 Underrättelse Yttrande Underrättelse Underrättelsesätt, misstänkt utsänd senast slutförd Försvarare Salmnsn, Ola, förrdnad Underrättelsesätt, försvarare Resultat av underrättelse mt l Resultat av underrättelse försv Misstänkt (Efternamn ch förnamn) Persnnummer Gustafssn, Brr OlfMathias Brtt Underrättelse m utredning enligt RB 23:18 Underrättelse Yttrande Underrättelse Underrättelsesätt, misstänkt utsänd senast slutförd Försvarare Begärd, Hurtig, Björn Underrättelsesätt, försvarare Resultat av underrättelse mi l Resultat av underrättelse försv Utredningsuppgifter/Redvisningshandlingar Diarienr Uppgiftstyp Sida Tilläggsprtkll 2 Rapprt Riksplisstyrelsen 0201-K Rapprt Sammanfattning knsekvenser Riksplisstyrelsen... l PM PM Gällande kmmunikatin... 4 PM sammanfattning av innehåll i e-pst PM Analys av filen utcam.sh

2

3 Film Övrigt Film från Kambdja, D VD-skiva Persnalia Bilaga skäligen misstänkt, Gustafssn, Brr OlfMathias 21 Persnalia, Gustafssn, Brr OlfMathias 22 Bilaga skäligen misstänkt, Svarthlm W arg, Per Gttfrid 23 Persnalia, Svarthlm W arg, Per Gttfri d

4

5 Rapprt Sammanfattning knsekvenser Riksplisstyrelsen, :35 diarienr: 0201-K Plisen Riksplisstyrelsen HK/VLK Verksamhetsskyddsenheten Anders J ared Säkerhetsspecialist/ Krinsp. Rapprt Datum Diarienr (åberpas) HD- VLK 9/12 Saknr Sammanfattning särskild händelse Mrgan Händelse Den 6 mars 2012 uppdagades tecken på dataintrång hs företaget Lgica. Den 22 mars 2012 anmäldes det pågående dataintrånget till Plisen. Flera myndigheters, inkl. Riksplisstyrelsens, verksamhet baseras på den infrmatin sm finns lagrad hs företaget. Persnuppgifter inkluderat även känsliga ch skyddade persnuppgifter röjdes. Omfattning Dataintrångets mfattning var från början känd ch hanterades därför med förutsättningen att all infrmatin hs företaget var röjd. Ganska snart kunde knstateras att en str mängd infrmatin kpierats ch att åtminstne ca l O 000 spärrmarkerade persnuppgifter förts ut ur Lgicas strdatrmilj ö. Initialt var farhågrna att alla persnuppgifter sm hanteras inm Plisen ptentiellt var förändrade ch därför brukbara. Efter nggrann analys framkm dck att de persnuppgifter sm hanteras inm Plisen frtfarande var tillförlitliga. Händelsen km att beröra stra delar av Plisen ch samverkande myndigheter då skyddade persnuppgifter röjts. Ett mfattande arbete med att minimera skadrna för persner med skyddade persnuppgifter ch it-system samt att säkerställa tillförlitligheten till befmtliga uppgifter genmfördes. Aktiviteter Behvet av samrdning ch krdinering för att öka effektiviteten i arbetet var kritisk. Händelsen bedömdes falla utanför Säp:s ansvarsmråde ch RPS Verksamhetsskydd tg samrdningsansvaret för incidentarbetet Alla berörda inm RPS, skatteverket ch Krnfgdemyndigheten infrmeras m incidenten. Ett gemensamt strmöte med representanter från alla berörda myndigheter ch företag genmfördes den 23 mars för att rganisera incidentarbetet Vid mötet deltg ca 40 persner. Arbetet rganiserades i undergrupper för hantering av lika ämnesmråden. Varje myndighet, ch i vissa grupper även företag, fanns representerade med minst en persn i varje undergrupp. De följande veckrna innebar incidentarbetet i strt sett heltidsarbete för en str mängd av de invlverade persnerna. För RPS del var flera lika avdelningar starkt invlverade bl. a Rikskriminalplisen, Verksledningskansliet, Sammanfattning knsekvens RPS.dcx

6

7 Rapprt Sammanfattning knsekvenser Riksplisstyrelsen, :35 diarienr: 0201-K Riksplisstyrelsen Plisavdelningen, Plisens Verksamhetsstöd, Rikskmmunikatinscentralen, Kmmunikatinsavdelningen ch säkerhetsplisen. Händelsen bedömdes vara av så allvarlig art att Riksplischefen den 28 mars 2012 beslutade m natinell särskild händelse enligt Förrdning (1989:773) med instruktin för Riksplisstyrelsen för att samrdna plisens uppgifter ch samverka med externa myndigheter mt bakgrund av dataintrånget hs skatteverkets leverantör. Den 28 mars 2012 fattade Rikskriminalplischefen beslut m att stab skulle upprättas med anledning av den allvarliga händelsen. stabsrientering med samtliga invlverade hölls vid åtta tillfällen. Arbetet i undergrupperna hade lika fkus. Främsta inriktning initialt var att avbryta intrånget ch :fa kunskap m mfattningen. När det framgick att enskilda persners säkerhet kunde vara i fara skapades en undergrupp för att minimera riskerna, infrmera ch skydda medbrgarna. Denna grupp invlverade bl. a pliser i hela landet med kntaktansvar för skyddade persner i samarbete med skatteverket. Den 4 april avslutades den akuta fasen då intrånget hade stppats ch de medelbara knsekvenserna var kartlagda. Incidenthanteringsarbetet övergick då i en arbetsfas. Arbetsfasen pågick fram till 15 nvember 2012 då myndigheterna gemensamt beslöt att man kunnat säkra it-miljön ch stänga möjligheterna för nya liknande angrepp. Resterande åtgärder sm kvarstår bedömdes ligga inm varje myndighets eget linjearbete att hantera. Arbetet frtgår. Kstnadsberäkning Kstnadsberäkning är gjrd för RPS. Övriga myndigheter ch företags kstnader är ej inkluderade. Inga kstnader sm är kpplade till den plisiära förundersökningen är således inkluderade i den presenterade kstnadsberäkningen. Beräkningen hänför sig enbart till det arbete sm lagts ner inm RPS på att hantera incidenten ch att säkerställa att den infrmatin (relaterad till intrånget) sm Plisen använder sig av går att lita på. Kstnadsberäkningen är inte kmplett då redvisningen arbetad tid inte sammanställs på inträffade incidenter till skillnad från plisiära utredningar. Det redvisade belppen ligger således i underkant mt verklig kstnad. Kstnaden är baserad på den samma schablnkstnad sm debiteras ex. bevakning av idrttsevenemang. Schablnen är 920 kr/arbetad timma. Sammanställning av kstnader uppdelat på avdelning: Avdelning Summa RPS Verksamhetsskydd ,00 kr RPS Kmmunikatinsavd. Ingen uppgift RPS/RKP Delsumma ,00 kr RPS/PVS ,00 kr RPS Systemägare Ingen uppgift SÄPO ,00 kr RPS Stab Uppskattad ,00 kr

8

9 Rapprt Sammanfattning knsekvenser Riksplisstyrelsen, :35 diarienr: 0201-K Riksplisstyrelsen HK Ledning PVS Ledning Stab Återstående arbete Uppskattad Ttalt ,00 kr Ingen uppgift ,00 kr ,00 kr Intrångets knsekvens för RPS kan knstateras vara att det medfört en avsevärd kstnad sm kunnat användas till medbrgarnas nytta på ett betydligt bättre sätt. Tiden sm lagts ner på incidentarbetet från en str mängd persner inm RPS har försenat annat högt pririterat arbete. Anders J ar ed

10

11 diarienr: 0201-K Plisen Plismyndigheten i Stckhlms län Länskriminalplisavdelningen IT-frensiska sektinen Jakim Perssn IT-frensiker PM Datum Diarienr (åberpas vid krresp) 0201-K Gällande kmmunikatin Mathias Gustafssn, alias dirox I material sm inhämtats hs passagen. se återfanns ett antal textfiler vilka innehåller sparade chatknversatiner sm skett via IRC. Av ttalt 1967 mttagna meddelanden kmmer 679 från användaren tlt sm får antas vara Gttfrid Svarthlm W arg. Så gtt sm all chat handlar m intrånget mt Lgica. Nedan följer utdrag ur chatten: : : : : : : : : :56 <tlt> <tlt> <tlt> <tlt> <tlt> de ar sa JA VLA AGDA j såg inte at du skrev, vad var det j ag laddade ner? deras racf-db tank /etc/passwd :P well shadw h ah unerbart : : : : : : : :15 vill du ha ett par inftrgkntn :) sisadar 70k st :) japs ge mig j ag har bara 200 =) har du nå plisknn,? skulle vilja se hur dm såg ut laddar du upp dm nånstans? : : : : :23 typ 128k kntn ttalt hade krakkat 70k senast jag kllade :) fan va nice =) duktig apa : sen har jag kmpletta dumpar av bl.a. fgdens register PM Gällande kmmunikatin.dcx

12

13 PM Gällande kmmunikatin, :38 diarienr: 0201-K Plismyndigheten i Stckhlms län K :24 <tlt> :24 <tlt> <tlt> sen har jag kmpletta dumpar av bl.a. fgdens register bara fgden e 12GB haha : : : : :30 <tlt> :30 <tlt> jag vill ha derazs register ska du inte ha lite pengar fran fgden x :) jp =) av ngn anledning trr jag att det e en dalig ide. frsta ar battre maste rdna narrstans du kan dra fran bara :26 <t L t> :26 <tlt> : : :27 SPAR ligger ju inte hs inftrg/sema!lgica langre! :D daremt gr KFMs register det (REX).. du sag att jag sntt hela? jag packade upp allt idag, sitter ch krypteraqr det nu håller på att säkra det säkra på Japtppen vill du ha allt det jag har sen? vet inte m vi har lika I materialet påträffades utöver knversatinerna med Svarthlm W arg även chat med Smedlund, se utdrag nedan : :53 <S Plg,gl> :53 <sii:qtgg]> :53 <snggl> :53 <SRqggl> :53 <SDl;tgci> : : : : : : : : :54 vill du ha några kntn till inf? näätack har samma sm du redan vi sm krackat dm vettvettyvetty=) j men snacka inte så mkt m det på efnet inte krypterat här lär vara lggat =P är du inte på tnet? j krs där nej på widepenbsd =)aha, jag trdde det var jag ch anaapa sm samarbetat japps är kvar i se

14

15 PM Gällande kmmunikatin, :38 diarienr: 0201-K Plismyndigheten i Stckhlms län K Krisffer Smedlund, alias snuggle ch krs I Smedlunds datr med beslagsnummer BG påträffades två filer benämnda ut.txt ch ut2.txt. Filerna innehåller råa flkbkföringsuppgifter för Gttfrid Svarthlm W arg ch Fredrik Neij tagna från Lgicas system. I förhör kan Smedlund inte påminna sig ha sett dessa uppgifter utan menar att det pstas så mycket i IRC kanalen. Gttfrid Svarthlm W args, alias Anakata ch tlt I Svarthlm W args datr med beslagsnummer BG påträffades str mängder chatknversatiner sm skett via IRC. Det finns dck stra luckr i materialet men man ser att Svarthlm W arg de fact använder sig av användamamnet tlt ch att han uppehåller sig i IRC kanalen hack.se. Kppling till hack.se Så gtt sm all kmmunikatin, mellan Svarthlm W arg, Gustafssn ch Smedlund, har skett eller sker genm IRC kanalen hack.se. Där diskuterar man relativt öppet dataintrång ch "alla" vet vad sm pågår, är inblandade i någn del eller har överseende med det sm sker. Jakim Perssn Tel: , jakim. pers se

16

17 PM sammanfattning av innehåll i e-pst, :21 diarienr: 0201-K Plisen Bilaga Datum Plismyndigheten i Stckhlms län Länskriminalplisavdelningen IT-frensiska sektinen Diarienr (åberpas vid krresp) 0201-K l (7) Sammanfattning avepst i BG avseende bilar Bilder från Inftrg med slagningar på bilar tillhörande rättsvårdande myndigheter förekmmer i två epst meddelande. Dels skickat till fredagen den 15:e ktber :39: ch dels nsdagen den 20:e ktber :19: se nedan. Frm: T: Subject: Mathias Gustafssn bilar Sent: Fri, 15 Oct :39: Sökväg: /hme/luciddream/. thunderbird/af1 wcun. default/imapmail/ imap.ggl .cm/[gmail].sbd/sent Mail bilar [--Mime Part, Type: image/jpeg; name="avesta01.jpg", Disp: attachment; filename="avesta01.jpg", Size: 139KB --] [--Mime Part, Type: image/jpeg; name="brlnge01.jpg", Disp: attachment; filename*=utf- 8"%62%6F%72%6C%C2%84%6E%67%65%30%31 %2E%4A%50%47, Size: 169KB --] [--Mime Part, Type: image/jpeg; name="falun01.jpg", Disp: attachment; filename="falun01.jpg", Size: 160KB --] [--Mime Part, Type: image/jpeg; name="falun02.jpg", Disp: attachment; filename="falun02.jpg", Size: 190KB --] [--Mime Part, Type: image/jpeg; name="hktet_falun01.jpg", Disp: attachment; filename*o*=utf- 8''%68%C2%84%6B% 74%65% 74%5F%66%61 %6C%75%6E%30%31 %2E%4A%50; filename*1 *=%47, Size: 113KB --] [--Mime Part, Type: image/jpeg; name="hktet_hrnsand01.jpg", Disp: attachment; filename*o*= UTF- 8"%68%C2%84%6B%74%65%74%5F%68%C2%84%72%6E%C2%94%73%61%6E; filename*l *=%64%30%31 %2E%4A%50%47, Size: 108KB --] [--Mime Part, Type: image/jpeg; name="kva_gruvberget01.jpg", Disp: attachment; filename="kva_gruvbergetol.jpg", Size: 137KB --] [ --Mim e Part, Type: image/jpeg; name="kva_hall01.jpg", Disp: attachment; filename="kva_hall01.jpg", Size: 140KB --] [--Mime Part, Type: image/jpeg; name="kva_tillberga01.jpg", Disp: attachment; filename="kva_tillberga01.jpg", Size: 114KB --] [--Mime Part, Type: image/jpeg; name="kva_viskan.jpg", Disp: attachment; filename="kva_viskan.jpg", Size: 125KB --] [ --Mi me Part, Type: image/jpeg; name="kvm_vsterts.jpg", Disp: attachment; filename*=utf- 8"%68% 76%6D%5F% 76%C2%84% 73%74%65% 72%C2%86% 73%2E%4A%50%4 7, Size: 108KB --] [ --Mi me Part, Type: image/jpeg; name="ludvika01.jpg", Disp: attachment; filename="ludvika01.jpg", Size: 131KB --] [--Mime Part, Type: image/jpeg; name="malung01.jpg", Disp: attachment; filename="malung01.jpg", Size: 154KB --]

18

19 PM sammanfattning av innehåll i e-pst, :21 diarienr: 0201-K Plismyndigheten i Stckhlms län K [--Mime Part, Type: image/jpeg; name="mraol.jpg", Disp: attachment; filename="mraol.jpg", Size: 160KB --] [--Mi me Part, Type: image/jpeg; name="ngelhlmol.jpg", Disp: attachment; filename*=utf- 8"%C2%84%6E%67%65%6C%68%6F%6C%6D%30%31 %2E%4A%50%47, Size: 115KB --] [--Mi me Part, Type: image/jpeg; name="rttvik.jpg", Disp: attachment; filename*=utf- 8"%72%C2%84%74%74%76%69%6B%2E%4A%50%47, Size: 127KB --] [--Mime Part, Type: image/jpeg; name="vstersol.jpg", Disp: attachment; filename*=utf- 8"%76%C2%84% 73%74%65% 72%C2%86% 73%30%31 %2E%4A%50%47, Size: 160KB --] [--Mime Part, Type: image/jpeg; name="vsters02.jpg", Disp: attachment; filename*=utf- 8"%76%C2%84%73%74%65%72%C2%86%73%30%32%2E%4A%50%47, Size: 196KB --] [--Mi me Part, Type: image/jpeg; name="vsters03.jpg", Disp: attachment; filename*=utf- 8"%76%C2%84%73%74%65%72%C2%86%73%30%33%2E%4A%50%47, Size: 199KB --] [--Mime Part, Type: image/jpeg; name="vsters04.jpg", Disp: attachment; filename*=utf- 8"%76%C2%84%73%74%65%72%C2%86%73%30%34%2E%4A%50%47, Size: 194KB --] X-Mzilla-Status: 0001 X-Mzilla-Status2: Return-Path: Received: frm [ ] (h a27l.priv.bahnhf.se [ ]) by mx.ggle.cm with ESMTPS id q54sm eeh (versin=sslv3 cipher=rc4-mds); Fri, 15 Oct :39: (PDT) Message-ID: User-Agent: MIME-Versin: 1.0 Mzilla/5.0 (Xll; U; Linux i686; en-us; rv:l ) Geck/ Thunderbird/3.0.8 Cntent-Type: multipart/mixed; bundary=" " Frm: T: Subject: Mathias Gustafssn bilar Sent: Wed, 20 Oct :19: Sökväg: /hme/lucidd rea m/. thunderbird/af1 wcun. default/imapmail/ imap.ggl .cm/[gmail].sbd/sent Mail bilare [ --Mi me Part, Type: image/jpeg; name="kvm_v,.sterts.jpg", Disp: attachment; filename*=utf- 8"%6B% 76%6D%5F% 76%C2%84% 73%74%65%72 %C2%86% 73%2E%4A%50%4 7, Size: 108KB --] [--Mime Part, Type: image/jpeg; name="h,.ktet_h,.rn"sandol.jpg", Disp: attachment; filename*o*=utf- 8"%68%C2%84%6B%74%65%74%5F%68%C2%84%72%6E%C2%94%73%61%6E; filename*1 *=%64%30%31 %2E%4A%50%47, Size: 108KB --] [ --Mim e Part, Type: image/jpeg; name="h,.ktet_falunol.jpg", Dis p: attachment; filename*o* = UTF- 8''%68%C2%84%6B% 74%65% 74%5F%66%61 %6C% 75%6E%30%31 %2E%4A %50; filename*1 *=%47, Size: 113KB --] [--Mime Part, Type: image/jpeg; name="kva_tillbergaol.jpg", Disp: attachment; filename="kva_tillbergaol.jpg", Size: 114KB --] [ --Mi me Part, Type: image/jpeg; name=",.ngelhlmol.jpg", Disp: attachment; filename*=utf- 8"%C2%84%6E%67%65%6C%68%6F%6C%6D%30%31 %2E%4A%50%47, Size: llskb --] [--Mime Part, Type: image/jpeg; name="kva_viskan.jpg", Disp: attachment; filename="kva_viskan.jpg", Size: 125KB --] [--Mime Part, Type: image/jpeg; name="r,.ttvik.jpg", Disp: attachment; filename*=utf- 8"%72%C2%84%74%74%76%69%6B%2E%4A%50%47, Size: 127KB --] [--Mime Part, Type: image/jpeg; name="ludvika01.jpg", Disp: attachment; filename="ludvika01.jpg", Size: 131KB --] [ --Mim e Part, Type: image/jpeg; name="kva_gruvberget01.jpg", Dis p: attachment; filename="kva_gruvberget01.jpg", Size: 137KB --] [--Mime Part, Type: image/jpeg; name="avestaol.jpg", Disp: attachment; filename="avestaol.jpg", Size: 139KB --]

20

21 PM sammanfattning av innehåll i e-pst, :21 diarienr: 0201-K Plismyndigheten i Stckhlms län K [--Mime Part, Type: image/jpeg; name="kva_haiiol.jpg", Disp: attachment; filename="kva_haiiol.jpg", Size: 140KB --J [--Mime Part, Type: image/jpeg; name="malung01.jpg", Disp: attachment; filename="malungol.jpg", Size: 154KB --J [--Mi me Part, Type: image/jpeg; name="mraol.jpg", Disp: attachment; filename="mraol.jpg", Size: 160KB --J [--Mi me Part, Type: image/jpeg; name="v,stertsol.jpg", Disp: attachment; filename*=utf- 8"%76%C2%84%73%74%65%72%C2%86%73%30%31%2E%4A%50%47, Size: 160KB --J [--Mime Part, Type: image/jpeg; name="falunol.jpg", Disp: attachment; filename="falunol.jpg", Size: 160KB --J [--Mime Part, Type: imagejjpeg; name="brl,ngeol.jpg", Disp: attachment; filename*=utf- 8"%62%6F%72%6C%C2%84%6E%67%65%30%31 %2E%4A%50%47, Size: 169KB --J [--Mime Part, Type: imagejjpeg; name="falun02.jpg", Disp: attachment; filename="falun02.jpg", Size: 190KB --J [--Mi me Part, Type: image/jpeg; name="v,sterts04.jpg", Disp: attachment; filename*=utf- 8"%76%C2%84%73% 74%65% 72%C2%86% 73%30%34%2E%4A%50%47, Size: 194KB --J [--Mime Part, Type: imagejjpeg; name="v,sterts02.jpg", Disp: attachment; filename*=utf- 8"%76%C2%84%73%74%65%72%C2%86%73%30%32%2E%4A%50%47, Size: 196KB --J [--Mime Part, Type: image/jpeg; name="v,sterts03.jpg", Disp: attachment; filename*=utf- 8"%76%C2%84%73%74%65%72%C2%86%73%30%33%2E%4A%50%47, Size: 199KB --J X-Mzilla-Status: 0001 X-Mzilla-Status2: Return-Path: Received: Message-ID: U ser-agent: MIM E-Versin: Cntent-Type: frm [ J (h a271.priv.bahnhf.se [ ]) by mx.ggle.cm with ESMTPS id q51sm eeh (versin=sslv3 cipher=rc4- MD5); Tue, 19 Oct :19: (PDT) <4CBE2784. > Mzilla/5.0 (Xll; U; Linux i686; en-us; rv: ) Geck/ Thunderbird/ multipart/m ix ed; bundary= " " Till båda dessa e-pst meddelanden är 20 bildfiler bifgade föreställande skärmdumpar från slagningar på inftrgs webbtjänst. Detta är samma bilder sm har påträffats i materialet inhämtat från Ubuntu One ch sm beskrivs under rubriken " Skärmdumpar plisen" i analysprtkllet för det samma. Nedan följer tre exempel ur dessa bifgade filer.

22

23 avestao l.jpg Eile dit!dew Hi try fil<marks Ils <Cf https://www5.1nftrg.se/infbi l/frameorgnr.jsp h met (/l Ol 3 3 Ol :J 00 :::: Reg /Org /Persnnr l Körkrt l Chassinr Skning Frdns innehav.. Frdnsinnehav Ägare Saluvagntfinnehav Huvudkntr l fllial Adresser :J :J cc Ol < :J :J <D ::f' Ol Nv söknmg Utskrift <D - (/l N fi!j!iiiiiimii! l POLISMYNDIGHETEN DALARNA BOX 739/NÄPO OMR. AVESTA FALUN LKF: Ägarkategri: staten... w l -"'"... l (j) Antal hämtade frdn: 11 Frdnsslag S P Antal status Antal Antal Ägerrll N iii" [ Dne /t startl Inrbil- Mzilla FirerM '\1 kva_visklln.jpg- Paint lirsm. Frdnsslag status SLÄP Beatrice- Cnversatian l FJ l i) Der Dank [Discschlac... l Cnversatian l Nielas... Ägarrll (i)' :J :: N... l :A CP... CP (j) -"'"... l N Cnversatian l Hi Way Technlgy C... l $ Windws Messenger ->.

24 r l ( ( (

25 brlngeo l.jpg ""' s: Ul Ql 3 3 Ql :J Di' Chassinr Reg /Org /Persnnr l Körkrt l Skntng F rdns innehav Frdnsinnehav saluvagnsinnehav Huvudkntr / fili l AdNsser :::+ :J :J cc Ql < :J :J CD ::r Q) Ägare Ny sökmng Utskrift POLISMYNDJGHETEN DALARNA BOX 739 /NÄPO OMR.BORLÄNGE FALUN LKF: Ägarkategri: staten CD "O l N... w l Antal hämtade frdn: 21 Frdnsslag Antal status Antal Ägarrll l Antal... (j) l SLÄP Beatrlce Cnversatian falun02. JP G Paint N Ärsm. Frdnsslag status SLÄP j l: Cnversatian l iij Dcument- WrdPad FJ- a. Ägarrll Nielas Cnversatian D.. ili'... (O' :J :: N... c:... c: (j) l... N J Ql Hi Way Technly- C... l Windws Messenger......

26 ( (

27 faluno l.jpg '(j '1J s: (/) Q) l 1 4-h-met 3 3 Q) :J öi' Reg-/Org-/Persnnr Skmng t Frdnsinnehav saluvagnsinnehav Huvudkntr l filial Adresser l Körkrt :::::: :J :J cc Q) < :J :J CD ::r Qt l Chasslnr Ny s O k n i nq Frdns innehav Ägare Utskrift CD "C (/) l POLISMYNDIGHETEN DALARNA BOX 739/NÄPO OMR. FALUN FALUN LKF: Ägarkategrl: Staten -- N... w l.j:>. l... Q) Antal hämtade frdn: 50 Frdnsslag... Antal 33 SLÄP 7 MC 6 L stbil 4 status Antal Ägarrll r-:, Antal 1 Avstäl l d Qi'... Ärsm. Frdnsslag status 2007 I tr fik 2007 I tr fik Lastbil 1971 SLÄP MC 1964 MC 1984 MC 1984 MC 1999 Lastbil SLÄP 1990 SLÄP 1972 SLÄP 2007 SLÄP SLÄP (ii' :J :: N Ägarrll... CX>... CX> Q).j:>. l... N Dne lf,tstartl Infbll- Mzllla FlrefK [jl New Message l Be trlce- Cnvers tin lj untried - Palnt l Cnversatian lli'j Dcument - WrdP d FJ- l Ni c l s - Cnversatian l HI W y Technlgy- C l - Windws Messenger... -" N

28 ( \ ( (

29 PM Analys av filen utcam.sh, :32 diarienr: 0201-K SÄKERH ETSPOLISEN Infrmatinssäkerhetsenheten PM Datum Diarienr 13 1 (7) Analys av filen utcam.sh Bakgrund Angriparen har successivt utvecklat sina attackmetder i syfte att strukturera ch förenkla sitt arbete. I beslag BG E01/Partitin 7/ återfinns en fil med namnet "utcam.sh". Nedan redvisas översiktligt innehållet i denna fil. Delar av filen har tagits brt för att undvika nödig expnering av lp-adresser, tillvägagångssätt ch detaljer i utnyttjade sårbarheter. För att öka läsbarheten av skriptet har ckså tmma rader tagits brt ch några extra radbrytningar tillkmmit. Sammanfattning Angriparen har skrivit ett verktyg för att förenkla sina attacker. Verktyget är i frm av ett så kallat shell-skript med vars hjälp man enkelt kan välja vilken server man ska angripa ch vad man vill åstadkmma med attacken. Shell-skriptet utnyttjar en av de sårbarheter sm angriparen funnit ch är avancerat ch väl strukturerat. Ett exempel på kmmand sm kan ges till skriptet är "steal". Kmmandt används till exempel då man önskar stjäla viss specificerad infrmatin på strdatrn.

30 PM Analys av filen utcam.sh, :32 diarienr: 0201-K säkerhetsplisen PM 14 2 (7) Analys Filen är vad man brukar benämna ett shell-skript1 Förenklat kan man beskriva ett shell-skript sm en serie kmmandn man önskar att datrn ska utföra sekventiellt. I denna analys ges en beskrivning av shell-skriptets funktin. Detta för att skildra angriparens intentin ch kapacitet. Beskrivningarna ges direkt efter utvalda kdsegment. Kdsegmenten följer ftlens struktur från början till slut ch sm tidigare nämnts har delar av kden tagits brt. Delar av kden har ckså färgmarkerats för att tydliggöra några viktiga delar. #!/bin/bash h=" IP-adress annan strdatr" Högst upp i ftlen specificerar angriparen ett antal lp-adresser. Dessa har i detta PM bytts ut mt en beskrivande text. Om det är ett #-tecken före en rad i ett shell-skript kmmer denna rad inte att läsas av skriptet. I stycket van ser vi att det är Nrdeas strdatr sm angriparen valt att angripa. Det är dck lätt gjrt att ändra servet så att man i stället angriper ett annat mål genm att flytta #-tecknet. 1 Från engelskans shell script 2 Restructured Extended Executr, prgrammeringsspråk utvecklat av IBM

31 PM Analys av filen utcam.sh, :32 diarienr: 0201-K säkerhetsplisen PM 15 3 (7) "Mzilla/5.0 (Windws NT 5.1; x86) AppleWebKit/ (KHTML, like Geck) Chrme/ Safari/535.19" dh=" UT" while :; d ech -n " $dh 8====D " Shell-skriptet frtsätter med att definiera ett antal variabler samt att invänta ett kmmand ch eventuellt annan data från användaren. I resterande del av shell-skriptet kmmer detta kmmand att ha lagrats i variabeln "verb". Verb kan således likställas med valt kmmand. Shell-skriptet innehåller en hel del spårutskrifter. Det är dessa man ftast ser efter kmmandt ech. ech " << $cmdline" if [ -z "$cmdline" ]; then ech " FIN" exit O f i 'ech "$cmdline" lcut -d' ' -fl' arg=' ech "$cmdline" l cut -d' ' -f2-' cmd=" "; pr=" " pst=" " tgt=" " if [ ]; then ech " : ppppp REXX ROXX" >&2 pr=" ech '/* REXX */' > /tmp/rx; ech '' >> /tmp/rx; chrnd 755 /tmp/rx; "; f i pst=" rm -f /tmp/rx "; tgt=" " cmd=" $arg" Shell-skriptet definierar här det första möjliga kmmandt "rx". Om angriparen valt att utföra just kmmandt rx är det på denna plats det bestäms vad kmmandt ska utföra. sekvensen av instruktiner delas upp i lika delar: pr, pst, tgt ch cmd. Detta för att enklare dela upp i vilken rdning kmmandna ska ske ch för att mer strukturerat sätta ihp kmmandt till en helhet i slutet av shell-skriptet. I just det här fallet önskar angriparen kunna skriva ch köra REXX2-kd på strdatrn. 2 Restructured Extended Executr, prgrammeringsspråk utvecklat av IBM

32 PM Analys av filen utcam.sh, :32 diarienr: 0201-K säkerhetsplisen PM 16 4 (7) if "$verb" = " l ; then ech ":ppppp REXX ROXX OUT" >&2 f i Här önskar angriparen utföra samma sak sm i exemplet van, men med den skillnaden att man förväntar sig att REXX-kmmandna prducerar någn frm av utdata sm man är intresserad av. if "$verb" = " l ; then ech ":pppp REXXOPHiLE" >&2 ech " [ $arg l " inputfile='ech "$arg" lcut -d' ' -fl' rest=' ech "$arg" l cut -d' ' -f2-' cmd=' (ech -n "PARMS='${rest}' ;" ; cat $inputfile)' pr=" ech '/* REXX */' > /tmp/rx; ech '1=\" \"; say \"k\" ; ' >> /tmp/rx; chind 755 /tmp/rx; cat /tmp/rx;" ; tgt=" " f i exit O Då kmmandt rxin anges, önskar angriparen köra REXX-kmmandn sm anges via en fil sm ckså tillhandahålls av angriparen. if [ "$verb" = " " l; then ech ":pppp REXXOPHiLE" >&2 ech " [ $arg l " inputfile='ech "$arg" lcut -d' ' -fl' rest='ech "$arg" lcut -d' ' -f2-' cmd=' (ech -n "PARMS='${rest}';" ; cat $inputfile)' fi pr=" "; tgt=" " Detta är en kmbinatin av de två tidigare beskrivna kmmandna rxut ch rxin. if [ "$verb" = " " l; then ech ":pppppp SHELL SHOCK" >&2 f i tgt=" /bin/sh" cmd=" $arg" Syftet med kmmandt sh är att köra ett kmmand/prgram i USS 3 -delen (UNIX-delen) av strdatrn. Till exempel kanske man är intresserad av hur katalgstrukturen ser ut eller vilka prcesser sm körs. 3 UNIX System Services, en kmpnent i z/os sm används i IBM:s strdatr

33 PM Analys av filen utcam.sh, :32 diarienr: 0201-K säkerhetsplisen PM 17 5 (7) if [ "$verb" l; then ech ":PppPPP PHILE SHOCK" >&2 ech " [ $arg ] " inputfile='ech "$arg" lcut -d' ' -fl' f i cmd=$ (cat $inputfilelsed 's/\xod//g') Kmmandt shin gör samma sak sm kmmandt sh, men med skillnaden att man läser instruktiner från en angiven fll. if [ "$verb" = " " l; then ech ":PpppPP SHYLOCK THE JEWISH THIEF STEALiNG TO gl" >&2 cmd=" rm -fr /tmp/sl; cd /tmp; mkdir /tmp/sl; mkdir /tmp/sl/$arg; cp -c > /tmp/sl/${arg}.raw.z; tgt=" " ech " [ $cmd l" f i -r \"//'$arg'\" /tmp/sl/$arg/; cat \"//'$arg'\" l Kmmandt "steal" är eventuellt självförklarande. Här har angriparen för avsikt att stjäla någt sm han själv anger. Shell-skriptet ser ckså till att kmprimera (packa ihp) infrmatinen sm angriparen har valt att stjäla, innan den läggs i en katalg på strdatrn sm är möjlig för angriparen att kmma åt.

34 PM Analys av filen utcam.sh, :32 diarienr: 0201-K säkerhetsplisen PM 18 6 (7) if [ "$verb" = 1 1 ] ; then 4096\"; e eh " : PppPPp VOLUME GOES TO 11" >&2 pr=" ech 1/* REXX */1 > /tmp/rx; ech 1address syscall \"read O tgt=" Il s cmd=" ${cmd}address ts \"allcate ddname (sysprint) sysut\"; address ts \"allcate ddname (sysin) dummy\" ; " fr vl in $arg ; d cmd=" ${cmd}address ts \"allcate dsname (1FORMAT4.DSCB1) DDNAME (SYSLIB) SHR UNIT (3390) VOLUME (${vl}) KEYLEN (44) DSORG (DA) EROPT (ACC)\" ; " cmd=" ${cmd}address ts \"TSOEXEC CALL * \" ; address ts \"REPRO INFILE (SYSLIB) OUTFILE (utdd)\"; " dn e f i ech " [ $cmd ] " Det är en någt mer avancerat peratin sm kmmandt vl utför. Shell-skriptet använder sig utav AMASPZAP, ett prgram på strdatrn sm har många användningsmråden. I detta fall trr vi att angriparen skapar sig en förteckning över tillgängliga dataset på en specifik vlym i strdatrn. if [ "$verb" = " " ] ; then ech ":PppPP TSlOw SHOCK" >&2 cmd=' ech "$arg" 1 sed 1 s/; /\n/g 1 ' fi På samma sätt sm angriparen kan köra ett kmmand/prgram i USS-delen kan han med hjälp av ts-kmmandt välja att köra ett kmmand/prgram mt MVS-delen istället. Härifrån kan man till exempel starta ett batch-jb, köra kmmandn mt RACF eller skapa ett dataset. Vad man kan åstadkmma är berende på användarens rättigheter.

till 0201-K81864-12 AM-52 124-12 Stockholms län LUIIT!T-forensisk sektion Kriminalinspektör Olle Wahlström 20 13-04-09 Kammaråklagare Henrik Olin

till 0201-K81864-12 AM-52 124-12 Stockholms län LUIIT!T-forensisk sektion Kriminalinspektör Olle Wahlström 20 13-04-09 Kammaråklagare Henrik Olin Polismyndighet T i l l ä g g s p rotoko l l Akl nr till 0201-K81864-12 Signerat av Stockholms län E nhet LUIIT!T-forensisk sektion AM-52 124-12 Signerat datum A rkivla kl. ex Handläggare (Protokollförare)

Läs mer

Bostad först för vem?

Bostad först för vem? Examensarbete Bstad först för vem? Några röster m ett samarbetsprjekt mellan Stckhlms stad ch Stckhlms Stadsmissin Författare: Jhanna Linde Anna Olvssn Handledare: Per-Olf Hlmberg Termin: VT13 Kurskd:

Läs mer

Isbrytare, lagbildning och energikickar

Isbrytare, lagbildning och energikickar Isbrytare, lagbildning ch energikickar Den här kursen Oavsett det är ett mindre möte hemma hs dig eller ett större utbildningsseminarium vill vi alla känna att vi har etablerat gemenskap med våra linvänner.

Läs mer

Anmälda brott. Preliminär statistik för första halvåret 2014

Anmälda brott. Preliminär statistik för första halvåret 2014 Anmälda brtt Preliminär statistik för första halvåret 2014 Brttsförebyggande rådet Bx 1386 111 93 Stckhlm Tel 08-401 87 00 inf@bra.se www.bra.se 2(25) Reprted Sammanfattning ffences Samtliga brtt Under

Läs mer

Att våga vara aktör i sitt eget liv

Att våga vara aktör i sitt eget liv Att våga vara aktör i sitt eget liv Ma Bström Erik Tjernqvist Institutinen för samhällsmedicin ch rehabilitering Arbetsterapi Examensarbete, 15 hp Ht 2013 Handledare: Ulla Nygren Arbetsexemplar Att våga

Läs mer

Anarkistisk tidning sedan 1898, nr 3-4 2005 (42-43), 25kr. G8-rapport. Global Intifada Anarkism och utbildning

Anarkistisk tidning sedan 1898, nr 3-4 2005 (42-43), 25kr. G8-rapport. Global Intifada Anarkism och utbildning Anarkistisk tidning sedan 1898, nr 3-4 2005 (42-43), 25kr G8-rapprt Glbal Intifada Anarkism ch utbildning Glbal slidaritet med Glbal Intifada 02 04 06 08 09 10 12 14 16 20 21 22 Glbal Intifada Stöduttalande

Läs mer

13. Utvecklingssamtal hos IOGT-NTO

13. Utvecklingssamtal hos IOGT-NTO 13. Utvecklingssamtal hs IOGT-NTO Syfte Att få rganisatinen att fungera bättre. Att bidra till medarbetarnas persnliga utveckling. Att stämma av mt mål. Att stämma av samarbetet mellan rganisatinsgrenarna

Läs mer

Vem vet KRAV? - En kvantitativ studie angående informations- och kunskapsbristen för KRAV-märkt konsumtion. Elin Fritz

Vem vet KRAV? - En kvantitativ studie angående informations- och kunskapsbristen för KRAV-märkt konsumtion. Elin Fritz Vem vet KRAV? - En kvantitativ studie angående infrmatins- ch kunskapsbristen för KRAV-märkt knsumtin. Författare: Handledare: Elin Frs Elin Fritz Anna-Carin Nrdvall Student Handelshögsklan Vårterminen

Läs mer

Revisionsrapport kommunens arbetsmarknadsåtgärder. Dnr KS 2013-193

Revisionsrapport kommunens arbetsmarknadsåtgärder. Dnr KS 2013-193 Beslutsförslag 2013-05-29 Kmmunstyrelseförvaltningen Kanslienheten Henrik Lundahl Revisinsrapprt kmmunens arbetsmarknadsåtgärder. Dnr KS 2013-193 Förslag till beslut Kmmunstyrelsen beslutar 1 Anteckna

Läs mer

Lastbilsdäck och bränslebesparingar. red ut begreppen en gang för alla

Lastbilsdäck och bränslebesparingar. red ut begreppen en gang för alla www.prinfhbr.dk 130092 SE Sant eller falskt? Lastbilsdäck ch bränslebesparingar red ut begreppen en gang för alla Manufacture Française des Pneumatiques Michelin, 23 place des Carmes, 63000 Clermnt-Ferrand,

Läs mer

Nära det vanliga arbetet men ändå annorlunda. Intervjuer med chefer om verksamheten inom Samordningsförbundet Göteborg Nordost

Nära det vanliga arbetet men ändå annorlunda. Intervjuer med chefer om verksamheten inom Samordningsförbundet Göteborg Nordost Nära det vanliga arbetet men ändå annorlunda Intervjuer med chefer om verksamheten inom Samordningsförbundet Göteborg Nordost Lars-Gunnar Krantz September 2007 Innehållsförteckning 1 Inledning 2 Uppdrag,

Läs mer

RÄTTEGÅNGEN - hur blir den?

RÄTTEGÅNGEN - hur blir den? RÄTTEGÅNGEN - hur blir den? RÄTTEGÅNGEN - hur blir den? 1 Brottsoffermyndigheten Box 470 901 09 Umeå Brottsoffermyndigheten, Anna Wiberg och Monica Burman Grafisk design: Kombi Marketing AB, www.kombimarketing.se

Läs mer

Samverkan hur får man den att fungera? Fältgruppen och dess samverkanspartners upplevelser av att samverka.

Samverkan hur får man den att fungera? Fältgruppen och dess samverkanspartners upplevelser av att samverka. Umeå universitet Institutionen för socialt arbete C-uppsats Höstterminen 2008 Samverkan hur får man den att fungera? Fältgruppen och dess samverkanspartners upplevelser av att samverka. Författare: Emma

Läs mer

Dataintrång En studie av IT-säkerhet och IT-brott

Dataintrång En studie av IT-säkerhet och IT-brott B-uppsats LIU-ITN-B--04/002--SE Dataintrång En studie av IT-säkerhet och IT-brott Anna Bartels och Shahla Shenavar 2004-04-06 Department of Science and Technology Linköpings Universitet SE-601 74 Norrköping,

Läs mer

Arbeta med Individuella mål och Överenskommelser

Arbeta med Individuella mål och Överenskommelser Augusti 2011 Guide för lärare - Grundskola Arbeta med Individuella mål och Överenskommelser Denna guide beskriver hur du dokumenterar individuella mål och överenskommelser i Unikum. Här beskrivs hur du

Läs mer

Projektledarens uppdrag Projektmöten Projektet avslutas

Projektledarens uppdrag Projektmöten Projektet avslutas INLEDNING Målgrupp och användningsområde 1. SAMMANFATTNING AV ETT PROJEKTS OLIKA FASER Viktiga begrepp 2. IDÉ- OCH PROBLEMIDENTIFIERING 3. FÖRSTUDIE 4. UPPDRAGSFASEN Uppdragsgivare Bakgrund Syfte Mål Avgränsningar

Läs mer

Informationssäkerheten i den civila statsförvaltningen

Informationssäkerheten i den civila statsförvaltningen en granskningsrapport från riksrevisionen Informationssäkerheten i den civila statsförvaltningen rir 2014:23 Riksrevisionen är en myndighet under riksdagen med uppgift att granska den verksamhet som bedrivs

Läs mer

Delat ledarskap i medarbetarperspektiv

Delat ledarskap i medarbetarperspektiv Delat ledarskap i medarbetarperspektiv Medarbetar- och chefserfarenheter vid två företag Soma Biglari arbetslivsrapport nr 2006:39 issn 1401-2928 Enheten för arbetshälsa Enhetschef: Ewa Wigaeus Tornqvist

Läs mer

Lånebehov och ekonomisk hälsa för arbetsintegrerande sociala företag.

Lånebehov och ekonomisk hälsa för arbetsintegrerande sociala företag. Lånebehov och ekonomisk hälsa för arbetsintegrerande sociala företag. En analys av lånebehov och ekonomiska förhållanden bland arbetsintegrerande sociala företag baserat på förhållandena år 2012. Sammanfattning

Läs mer

Överlåtelse av viss kemikalietillsyn

Överlåtelse av viss kemikalietillsyn Rapport Nr 7/12 En rapport från Kemikalieinspektionen www.kemi.se Överlåtelse av viss kemikalietillsyn rapport från ett regeringsuppdrag KEMIKALIEINSPEKTIONEN Överlåtelse av viss kemikalietillsyn rapport

Läs mer

Rätt jobb - jobbcoachning i grupp. Resultat från ett randomiserat experiment Slutrapport

Rätt jobb - jobbcoachning i grupp. Resultat från ett randomiserat experiment Slutrapport - jobbcoachning i grupp Resultat från ett randomiserat experiment Slutrapport Av Marie Gartell Innehållsförteckning 1. Inledning... 2 2. En kort beskrivning av arbetssättet... 4 3. Tidigare studier...

Läs mer

Granskning av hanteringen av dataintrånget

Granskning av hanteringen av dataintrånget Dnr Rev 19-2013 Genomförd av: Ernst & Young Behandlad av Revisorskollegiet den 13 mars 2013 Västra Götalandsregionen Granskning av hanteringen av dataintrånget 2013-02-27 Sammanfattning I augusti 2012

Läs mer

DET TYSTA VITTNET en utvärdering av barngruppverksamheten för barn som bevittnat våld i Katrineholm, Flen och Vingåker

DET TYSTA VITTNET en utvärdering av barngruppverksamheten för barn som bevittnat våld i Katrineholm, Flen och Vingåker DET TYSTA VITTNET en utvärdering av barngruppverksamheten för barn som bevittnat våld i Katrineholm, Flen och Vingåker Katarina Enqvist-Bolin Ola Nordqvist Innehållsförteckning INLEDNING 3 BAKGRUND 4 Barngrupper

Läs mer

Informationsutbyte mellan myndigheter eller dubbelarbete för företagen?

Informationsutbyte mellan myndigheter eller dubbelarbete för företagen? Informationsutbyte mellan myndigheter eller dubbelarbete för företagen? Statliga myndigheter kräver årligen in 94 miljoner blanketter från företagen Rapport av Jens Hedström Mars 2006 Innehållsförteckning

Läs mer

EN JURIDISK PERSON I BYGGNADS BESLUTAD AV BYGGNADS KONGRESS 2014

EN JURIDISK PERSON I BYGGNADS BESLUTAD AV BYGGNADS KONGRESS 2014 EN JURIDISK PERSON I BYGGNADS BESLUTAD AV BYGGNADS KONGRESS 2014 INNEHÅLLSFÖRTECKNING 1. Sammanfattning och förslag... 2 1.1. Sammanfattning...2 1.2. Överväganden...2 1.3. Alternativ till att vara en juridisk

Läs mer

Individuell plan på den enskildes villkor. Del 2 Planer enligt LSS och HSL i praktiken

Individuell plan på den enskildes villkor. Del 2 Planer enligt LSS och HSL i praktiken Individuell plan på den enskildes villkor Del 2 Planer enligt LSS och HSL i praktiken Socialstyrelsen klassificerar från och med år 2001 sin utgivning i olika dokumenttyper. Detta är ett Underlag från

Läs mer

Relationsvåldscentrum ur ett brottsutredande perspektiv

Relationsvåldscentrum ur ett brottsutredande perspektiv ERSTA SKÖNDAL HÖGSKOLA ARBETSRAPPORTSERIE INSTITUTIONEN FÖR SOCIALVETENSKAP 77 Relationsvåldscentrum ur ett brottsutredande perspektiv Om betydelsen av stöd till våldsutsatta kvinnor i samband med polisens

Läs mer

Patientens tillgång till sin journal En promemoria från Patientmaktsutredningen

Patientens tillgång till sin journal En promemoria från Patientmaktsutredningen TILL SOCIALDEPARTEMENTET Patientens tillgång till sin journal En promemoria från Patientmaktsutredningen 2012-06-07 Innehåll 1 Inledning... 2 1.1 Arbetssätt och avgränsningar... 2 2 Bakgrund... 4 2.1 Patientjournal...

Läs mer

Lärande och utveckling i vardagen. förutsättningar och verktyg

Lärande och utveckling i vardagen. förutsättningar och verktyg Lärande och utveckling i vardagen förutsättningar och verktyg Om Carpe - bakgrund I detta material nämns Carpe som en enhet. Fram till och med 30 juni 2014 består Carpe av två delar, Forum Carpe och projekt

Läs mer

Habiliteringsplanering

Habiliteringsplanering Rapport från Barn- och ungdomshabiliteringen Habiliteringsplanering - ett sätt att gemensamt nå målen Modell för utvärdering av individuella habiliteringsplaner inom barn- och ungdomshabiliteringen i Landstinget

Läs mer