Analysen tog lång tid och den gav inte säkert resultat. Det fanns tecken på försök till intrång som sträckte sig längre tillbaka i tiden än sex månader men de var vaga, de kom oregelbundet och de var inte sällan maskerade som felaktiga inmatningar i webläsarfältet.
– Han söker igenom hemsidorna, så mycket är klart och han ser direkt vilket underliggande system som har använts, konstaterade Sommargren efter att ha ögnat igenom listorna en kort stund.
– Det är är ingen vanlig scriptkiddie, men det visste vi i och för sig redan men han ger intryck av att vara smartare än vanligt, medgav Jakobsson och fortsatte att försöka tolka de små varningsklockorna som varje rad i listan utgjorde.
– Finns det någon minsta gemensam nämnare för det han gör, sa Jakobsson när de suttit tysta en längre stund.
– Söker han på allt eller är han ute efter vissa system, fyllde han i.
– Precis min tanke. Kan vi se vad han är ute efter så kan analysen kanske bli lite mer tydlig och enkel att tolka, svarade Sommargren och började att mata in nya uppgifter som klustret skulle få arbeta med.
Steg för steg kördes olika system igenom och uppgifterna kördes mot Unix, Windows och Linux för att se om den okände provade mot olika plattformar eller bara mot några utvalda. Det kunde ge en något tydligare bild om vem de hade emot sig. De visste att den okände hade en förkärlek för en viss mjukvara, ett piratkopierat terminalprogram.
Nästa steg var att försöka välja ut vilka system som försöken gjordes mot och här syntes ett mönster. Försöken gjordes mot en svensk industrikoncerns system men bara mot vissa servrar och bara mot servrar som kunde innehålla känslig information. I en stor, omfattande lista på försök mot mängder av olika system fanns ett mönster där försöken riktades mot ett svenskt, stort företag.
Servrarna var inte tillgängliga utifrån men efter några timmars letande stod det klart att killen hade hittat en väg in. En javascript-funktion som borde ha kopplats ned så snart någon loggade av fungerade inte korrekt. Uppkopplingen kunde i vissa speciella fall ligga öppen längre än den borde och det var ett känt fel som IT-avdelningen hade missat att täppa till. Det fanns en buggfix men den hade någon glömt att installera.
– Förbannat, hur fan kan han veta det här?, svor Sommargren till när han hittade hålet vidare in i systemet.
Företaget som tillverkade säkerhetslösningen hade bara gått ut med informationen om säkerhetshålet till de kunder som var berörda. Buggfixarna hade skickats ut via det interna nätet men ingen publik information hade släppts. Ingen av de stora säkerhetssajterna hade publicerat någon information och det var ett litet mindre antal personer som hade informationen om säkerhetshålet. Berörda kunder fick information direkt via mail till ansvariga chefer. Inga personer längre ned i organisationerna fick veta något mer än att de skulle installera buggfixen, snarast.
– Insider eller så har han koll på mer än vi vet, konstaterade Jakobsson och lyfte luren för att kalla in mer folk.
– Vi behöver hjälp, konstaterade han torrt.
