- Norman-dommen misforstått i utlandet

En melding fra Associated Press, "Norge fristed for hackere", har gått sin seiersgang verden over. - De har helt misforstått Norman-dommen, sier professor Jon Bing ved Institutt for rettsinformatikk.

I meldingen heter det: "Norge kan bli et fristed for hackere etter at landets høyesterett bestemte at å prøve å bryte seg inn i en datamaskin over Internett ikke er en forbrytelse før systemet faktisk er krenket, sa eksperter onsdag."

Det heter videre: "I teorien kan hackere i Norge nå lovlig lete gjennom datamaskiner hvor som helst i verden på jakt etter sikkerhetshull. Slik informasjon kan da gis videre til andre hackere for mulig ulovlig bruk."

Meldingen viser til dommen i Høyesterett 15. desember i fjor. På dagen tre år tidligere skaffet en ansatt i Norman Data Defense Systems seg adgang via Internett til tre maskiner på Universitetet i Oslo. Maskinene var ikke satt opp som offentlige webtjenere. Handlingene ble utført etter en henvendelse fra NRK som ville lage et tv-program om datasikkerhet.

Forholdet ble anmeldt 2. januar 1996. I april ble selskapet og den ansatte bøtelagt. De nektet å vedta boten. I Asker og Bærum herredsrett ble selskapet og den ansatte dømt til bøter på henholdsvis 100.000 kroner og 10.000 kroner for brudd på to paragrafer i straffeloven - nr 145 "bryte en beskyttelse eller på lignende måte uberettiget skaffer seg adgang til data eller programutrustning", og 393 "bruger eller forføier over Løsøregjenstand, der tilhører en anden, saaledes at den berettigede derved paaføres Tab eller Uleilighed".

I Borgarting lagmannsrett i april i fjor ble de tiltalte frifunnet for uberettiget å ha skaffet seg adgang til data eller programutrustning (altså paragraf 145) men dømt for rettsstridig bruk av løsøre (paragraf 393). Bøtene ble redusert til 2000 kroner for den ansatte og 10.000 kroner for selskapet. Påtalemyndigheten anket frifinnelsen for anklagen om uberettiget adgang, mens de tiltalte anket dommen for anklagen om rettsstridig bruk.

Høyesterett forkastet påtalemyndighetens anke enstemmig. Anken fra de tiltalte ble godkjent med tre mot to stemmer.

- Høyesterettsdommen er subtil, understreker Bing. - Det de utenlandske kommentarene har oversett, er at også påtalemyndigheten avviser at det dreier seg om hacking. Påtalemyndigheten sier at i dette spesielle tilfellet dreide det seg om et forsøk på hacking. Denne påstanden er avvist av Høyesterett. Dommen legger videre stor vekt på det subjektive, om hensikten med handlingen var å skade eller ikke. I påtalemyndighetens sak var det subjektive elementet veldig svakt.

Dommen er i sin helhet tilgjengelig på nettstedet til Lovdata. Gå til området for høyesterettsavgjørelser og finn saken datert 15. desember 1998: "Straffeloven § 145 og § 393.: Påtalemyndigheten (Aktor: Kst statsadvokat Roar Østby) mot X Systems AS og A (Forsvarer: Advokat Kai Thøgersen - til prøve)".

Her kan du lese at Norman koplet seg til webtjeneren Info på vanlig måte. Ved å variere de siste tallene i Infos IP-adresse, fant man fram til tjenerne Ernst og Hermod, ingen av dem direkte tilgjengelig fra åpne kilder, men likevel ubeskyttede og permanent tilkoplet Internett. Ved å kjøre kommandoen "finger" til Hermod fant man fram til arbeidsstasjonen Virak, og "finger" til Virak avslørte navnet på Viraks bruker.

Telnet til Virak provoserte fram krav om brukernavn og passord. Norman prøvde seg med to typisk tillatte brukere - "guest" og "anonymous" - og gjorde ingen ytterligere forsøk da disse ble avvist. Sendmail til Virak med kommandoen vrfy [Viraks bruker] (vrfy står for verify) bekreftet at brukeren hadde sin personlige postkasse på Virak.

Til slutt ble det kjørt et portscan-program mot tjenerne Info, Ernst og Hermod som avdekket hvilke tjenester disse kunne tilby.

Lagmannsretten fant det bevist at ingen av programmene som Norman kjørte, kunne gitt adgang til beskyttet data eller programutrustning. Den fant det også bevist at det heller ikke var Normans hensikt å skaffe seg uberettiget adgang. Om det mest kontroversielle punktet, bruken av portscan-programmet, heter det i lagmannsrettens dom: "A [den ansatte i Norman] har forklart at programmet i dette tilfellet ikke logget svarene og at navn og versjon på operativsystemet og/eller postsystemet ikke ble angitt; sistnevnte kunne i motsatt fall, for en som kjenner operativsystemet godt, ha indikert hvilke eventuelle svakheter som forelå og hvordan et "angrep" burde gjennomføres. Lagmannsretten har ikke noe grunnlag for å sette As forklaring til side

Bevisene i lagmannsretten binder Høyesterett. Påtalemyndighetens anke gjaldt lovanvendelsen. Høyesterett vurderte lovanvendelsen i lys av bevismaterialet, og fant at den var korrekt. Førstvoterende uttrykker dette slik: "Selv om en handlingsrekke samlet vurdert skulle fremtre som kvalifisert uberettiget eller meget klanderverdig, rammes den ikke av straffeloven § 145 annet ledd dersom den ikke retter seg mot datalagret informasjon eller programutrustning som er gitt en form for beskyttelse."

- Det som er poenget her, er at man ikke kan kriminalisere handlinger som gjelder vanlig virksomhet på nettet, sier Bing.

- Hvis jeg støter på en tjener der jeg ikke har egen brukerkonto, må det være tillatt å prøve et passord som "guest" uten å risikere en hackertiltale.

Bing mener bruken av portscan-programmer kan betraktes som kontroversielt. Her har ikke Høyesterett tatt noe allment standpunkt. Avgjørelsen bygger på sakens helt spesielle omstendigheter.

Høyesterett delte seg i vurderingen av anken fra Norman, det vil si spørsmålet om "rettsstridig bruk av løsøre". Mindretallet avviste anken. Det la vekt på at Norman hadde brukt Universitetets datamaskiner uten samtykke og på en måte som har påført institusjonen skade i form av økonomisk tap og uleilighet, siden det ble brukt ressurser på å undersøke det som ut fra loggen så ut som et forsøk på datasnoking.

Flertallet støttet Norman. Annenvoterende gir denne begrunnelsen: "Ved å koble maskinen til Internett har datamaskineieren akseptert at det blir rettet forespørsler til maskinen om hvilken informasjon den har å tilby, og den aktivitet som skjer når maskinen svarer på slike forespørsler, kan da etter mitt syn ikke anses som uberettiget bruk av maskinen.

"Det A [den ansatte hos Norman] har gjort, er å undersøke hvilke porter som var tilgjengelige, og om maskinene stod åpne for brukere uten konto ('guest' eller 'anonymous'). Universitetet hadde valgt å la maskinene besvare forespørsler om hvilke porter som var tilgjengelige, men hadde ikke åpnet mulighet for brukere uten konto å komme inn på maskinene. Etter at A hadde fått avklart dette, gjorde han ikke ytterligere forsøk på å komme inn på maskinene. Etter min mening må de undersøkelser som A har foretatt, ligge innenfor det som er berettiget å gjøre av henvendelser til datamaskiner som er tilkoblet Internett."

Mindretallets syn avvises direkte i dette svært interessante avsnittet: "Som førstvoterende har fremholdt, hadde A ved sine undersøkelser ikke som formål å nyttiggjøre seg tjenester som de tre datamaskinene tilbød allmennheten, men å avdekke svakheter i beskyttelsen av Universitetets datasystemer. Etter min oppfatning kan imidlertid det at A hadde et slikt formål, ikke gjøre en ellers lovlig handling ulovlig."

Det høyesterettsavgjørelsen slår fast, er altså at en helt overflatisk sikkerhetssjekk, utført over Internett, uten onde hensikter og uten at det er produsert noen som helst analyse av eventuelle svakheter, ikke en gang kan betraktes som et forsøk på hacking. Det er ikke ulovlig å prøve om en dør er låst.

Til toppen