Hem > Internet > Nog har det skett ett intrång alltid!

Nog har det skett ett intrång alltid!

Antipiratbyrån kan ha begått dataintrångI den första uppmärksammade IPRED-rättegången har fem förlag begärt ett informationsföreläggande om vem som äger en specifik ip-adress. En ftp-server uppsatt på den adressen har används för att, som dom skriver, utan tillstånd tillgängliggöra upphovsrättskyddade verk, närmare bestämt 27 stycken ljudböcker. Så läste jag säkerhetsexperten André Rickardsson debattartikel på SvD (http://www.svd.se/opinion/brannpunkt/artikel_3120183.svd), där han hävdar att den ftp-servern faktiskt varit ordentligt åtskruvad säkerhetsmässigt, och inte gått att komma åt annat än från specifika adresser, och bara med rätt användarnamn och lösenord. Om detta nu stämmer, hur kan man då hävda att verken tillgängliggjorts, och i så fall till vem?
Exakt vad som egentligen har hänt, och hur bevissäkringen egentligen har gått till blev plötsligt väldigt intressant att veta. Så vad göra? jag laddade helt enkelt ner hela domen, inklusive den ursprungliga ansökan och alla bilagor. Jag var intresserad av den bevisning som presenterats Solna tingsrätt.

I den första uppmärksammade Ipred-rättegången har fem förlag, med bistånd av Antipiratbyrån, begärt ett informationsföreläggande om vem som äger en specifik ip-adress. En ftp-server uppsatt på den adressen har används för att, som de skriver, utan tillstånd tillgängliggöra upphovsrättskyddade verk, närmare bestämt 27 stycken ljudböcker. Ett klockrent fall av intrång i upphovsrätten, tyckte domstolen och gav Bokförlagen rätt!

Så läste jag säkerhetsexperten André Rickardsson debattartikel på SvD, där han hävdar att den ftp-servern faktiskt varit skyddad med lösenord, och heller inte gått att komma åt annat än från specifika angivna adresser. Om detta stämmer, hur kan man då hävda att verken tillgängliggjorts, och i så fall till vem?

Exakt vad som har hänt, och hur bevissäkringen egentligen har gått till blev plötsligt väldigt intressant. Så jag laddade ner hela domen, inklusive den ursprungliga ansökan och alla bilagor, för att studera saken närmare. Ur de olika bilagorna och bevisen (bilagor 1-5,6-20) kan jag dra följande slutsats:

Så här gick intrånget till

Intrång1.

En infiltratör (N.N.) kopplar upp sej mot den misstänkta ftp-servern, genom att använda sitt eget användarkonto och lösenord. För att koppla upp sej använder han programmet FlashFXP, i vilket han kan se alla filer på servern. Det finns ingenting som talar om var infiltratören befunnit sej, han kan finnas precis var som helst, även utomlands.

2.

Infiltratören kopplar sedan upp sej mot Antipiratbyråns server, så att han nu har två samtidiga ftp-kopplingar uppe. På Antipiratbyråns server har nämligen en ftp-server-programvara som heter Serv-U installerats, som infiltratören också har tillgång till. Nu kan infiltratören bläddra bland filerna på den misstänkta maskinen och ta skärmdumpar med programmet Paint för att dokumentera det stora antalet upphovsrättsskyddade filer.

Det framgår inte heller vilken ip-adress denna server har eftersom den befinner sig på ett lokalt nät, med ip-adressen 192.168.150.3. I varje fall är den ansluten till internet via en router och en okänd ip-adress.

3.

Genom ett kommando till programmet FlashFXP startar infiltratören filöverföringen direkt från den misstänkta ftp-servern till Antipiratbyråns server, utan att själv ladda ner dem. Innan varje talbok överförs startar Anders Nilsson, som sitter vid ftp-servern, programmet CommView som sparar internettrafiken och på så sätt dokumenteras överföringen. När Leif GW Perssons talbok ”Den som dödar draken” överförs tar infiltratören ytterligare en skärmdump med programmet Paint för att dokumentera att överföringen verkligen sker. Under hela detta förfarande har infiltratören och Anders Nilsson kontakt via telefon för att synkronisera sina aktiviteter.

Sammanfattningsvis:

  1. Antipiratbyrån har inte själv haft tillgång till den misstänkta ftp-servern.
  2. Filerna har laddats upp av infiltratören, inte laddats ner av Antipiratbyrån.

Bevisen

Ansökan innehåller följande bilagor:

  • Bilaga 1 är själva yrkandet
  • Bilaga 2 listar alla 27 verk som Antipiratbyråns Anders Nilsson säkrat bevis för
  • Bilaga 3 är en utskrift från Ripe om den aktuella ip-adressen (77.53.104.102) och den operatör som delat ut den (Perfect Communication Sweden, PCS)
  • Bilaga 4, där Antipiratbyråns Anders Nilsson berättar hur själva bevissäkringen gått till
  • Bilaga 5 är ett antal nätverksloggar som dokumenterar datatrafiken som skett
  • Bilaga 6-12, ett antal skärmdumpar
  • Bilaga 13-20 är fullmakter och registreringsbevis på de inblandade företagen

Det som är intressant är bilagorna 5-12 med skärmdumpar och trafikloggar, samt den berättelse om hur bevissäkringen gått till som återfinns i bilaga 4 och i viss mån även i själva yrkandet.

Skärmdumparna

Alla skärmdumpar visar programmet FlashFXP, en populär ftp-klient, se exempelvis skärmdumpen i bilaga 5:

Bilaga5

Den beskrivning som ges i själva sakframställan (bilaga 1) säger att

Av den första bilden, bilaga 4, framgår i det vänstra fönstret de kataloger som visas finns skapade på ftp-servern. I motsvarande fönster på höger sida visas den egna datorn.

(Notera att Danowsky & Partners numrering av bilagorna skiljer sig åt – jag använder tingsrättens numrering i min text. D&Ps bilaga 4 är samma som tingsrättens bilaga 5). Alla skärmdumpar ser likadana ut, förutom listan över filer till vänster, som man använder för att visa utbudet av ljudböcker som lagras på den misstänkta ftp-servern.

Låt mej få visa ett par saker värda att lägga märke till i dessa skärmdumpar. Först och främst, notera verktygsraden ovanför de bägge listorna:

Verktygsrad för fjärranslutning

Verktygsrad för fjärranslutning

Knapparna i dessa verktygsrader tillåter användaren att ansluta sej mot olika servrar, koppla ner anslutningen, uppdatera innehållet i fillistan osv. Uppenbarligen, enligt de skärmdumpar som lämnats till tingsrätten, är datorn som kör FlashFXP samtidigt uppkopplad till två olika servrar. Det är alltså inte frågan om vanlig nedladdning, utan om en överföring mellan två olika servrar.

Hade det varit frågan om att visa filer på den lokala datorn, som påstås i sakframställan, så hade vi i stället sett följande verktygsrad över den högra fil-listan, som ska vara den egna datorn:

Verktygsrad för lokal åtkomst

Verktygsrad för lokal åtkomst

Men dessa knappar syns inte i någon av skärmdumparna. Ingenstans framgår det vilken adress någon av de olika anslutna servrarna har, eller vilken adress datorn som kör FlashFXP använder.

Ok, vidare, lägg märke till vad som syns under fillistan från respektive server, ett hänglås och en tidsangivelse:

Padlock

Hänglåset indikerar att det är fråga om en krypterad anslutning FTPS, inte en vanlig ftp (FlashFXP stödjer SFTP i kommande version 3.7, men inte i 3.6 som jag använde). För en vanlig ftp-session hade hänglåset inte visats, då det inte varit en säker uppkoppling. Att uppkopplingen är säker innebär att kommunikationskanalen mellan klient (FlashFXP) och server (ftp-servern) är krypterad, och därigenom skyddad mot avslyssning. Ungefär på samma sätt som när man använder sin internetbank.

Slutsatsen av att studera dessa skärmbilder måste bli att det är tre datorer inblandade, den som FlashFXP körs på, samt de vars filer den visar i de bägge listorna. Ingenting kan sägas om vilken ip-adress någon av dessa tre datorer använder.

Nätloggarna

Ok, låt mej få redovisa vad som kan sägas om nätrapporterna. Skärmdumparna kan ju vara begripliga, men nu finns det risk för att det blir mer tekniskt. Nätrapporterna i bilaga 5  är framtagna med programmet CommView, som sparar information om all nätverkstrafik på den egna datorn.

Jag förklarar allt eftersom. Så här ser en av nätverksrapporterna ut:

Lapidus

En liknande redovisas för 16 av överföringarna; de övriga 11 redovisas inte. Varje rapport är en sammanfattning av den nätverksaktivitet som pågått under själva överföringen, enligt Antipiratbyråns Anders Nilsson.

I kolumnen längst till vänster, ”Local IP”, redovisas den lokala ip-adressen som används, dvs den dator som kör CommView. I samtliga rapporter anges den som 192.168.150.3. Vad betyder det? Jo att den dator som loggar trafiken körs på en dator med en privat, eller ”svart” ip-adress, dvs en adress som inte kan nås via internet, utan bara förekommer på lokala ”intranät”. En dator med en sådan adress kan endast nå internet om den är placerad bakom en NAT, vilket är en funktion som varje bredbandsrouter tillhandahåller. Den dator som loggat denna trafik kan alltså befinna sej var som helst, i någons hem eller i ett företagsnät.

Nästa kolumn, ”Remote IP” pekar ut den server som överföringen skett från. Det är också det enda stället där den angivna ftp-servern (77.53.104.102) anges.

Kolumn 3-5, mängden data in/ut och riktningen detta skett i är svårtolkad. Vad jag lägger märke till är att data ut (från den servern som loggar) är ungefär hälften av den data som kommer in; jag vet inte vad som kan sägas om det, men det kan inte uteslutas att någon okänd samtidigt laddar ner filer från servern. Kolumnen ”direction” säger ”out”, vilket innebär att kommunikationen initierats av samma server, men inte nödvändigtvis att överföringen gått åt det hållet.

Kolumnen ”Sessions” talar om hur många uppkopplingar (sessioner) som förekommit mellan de bägge datorerna. Ftp funkar så att den öppnar en ny session för varje fil som överförs; en ljudbok skulle alltså kunna innebära en hel del sessioner. I de rapporter som redovisas listas mellan 75 och 500 sessioner, vilket är fler än de filer som ingår i de namngivna verken. Det tyder även på att andra filer samtidigt laddats upp eller ner från servern. Det är heller inte säkert att Anders Nilsson startat och stoppat CommView vid exakt rätt tillfälle alla gånger.

Den riktigt intressanta informationen finns dock i kolumnen längst till höger, ”Process”, vilket är den process, eller programvara, som kan knytas till överföringen. I samtliga inlämnade rapporter anges den som ”ServUDaemon.exe”, som är en del av ftp-serverprogramvaran Serv-U. Detta talar entydigt för att dessa nätverksrapporter tagits på en dator som fungerat som ftp-server.

Slutsats

Så vad ska man säga om detta? Det man kan styrka med dessa bilagor är att en dator med de nämnda verken fanns uppkopplad på internet vid den givna tiudpunkten den 1 april i år.

Vi kan dock inte veta hur den misstänkta servern använts. Det kan vara en fildelningsserver i någon datorhall avsedd att sprida upphovsskyddade verk på internet, men det kan lika gärna röra sig om en pc hemma hos någon som fildelat allt detta material från Pirate Bay, kanske i pojkrummet i en helt vanlig småstad. Det kan till och med röra sej om en privat laptop med en tillkopplad, lånad extern hårddisk!

Så att anta att den använts för spridning av materialet är förhastat, den kan lika gärna ha använts för att samla det. Servern är i alla fall inte tillgänglig på internet, så frågan är ju hur många som nyttjat den, och i vilket syfte. Det är nog något vi bara kan få veta från de inblandade själva, om de väljer att berätta det. Kan man egentligen styrka annat än innehav?

Vi vet ju inte heller hur inloggningsuppgifterna till den misstänkta servern har spridits, hur infiltratören kommit över dem, hur många som har haft tillgång till servern osv. Bara information från själva servern, eller dess administratör, kan ge den informationen. Det lär visst finnas loggar tillgängliga från ftp-servern, som stödjer min analys. Dessa har jag tyvärr inte tillgång till, kanske innehåller de intressanta upplysningar om detta. Att loggar överhuvudtaget existerar indikerar att ftp-servern inte används till någon riktigt proffsig verksamhet, det är brukligt att stänga av all loggning på sådana servrar. I händelse av att den skulle tas i beslag så innehåller ju loggarna ledtrådar om vilka som använt den.

När en jurist och en datatekniker talar om intrång, så talar de inte om samma sorts intrång. I detta fallet är det inte helt självskrivet om intrånget skett i datateknisk eller juridisk mening, eller i bägge två. Men en sak vet vi med säkerhet – det är ett klockrent fall av intrång i någons integritet!

Frågan är, hur många andra servrar har undersökts på detta sätt utan att upphovsrättskyddat material hittats? Det får vi nog aldrig veta.

Relaterat:

SvD Opinion Antipiratbyrån kan ha begått dataintrång

Blogg: Danowsky måste ha varit stupfull

CS: Så kom Antipiratbyrån åt servern

CS: Troligtvis inte dataintrång

Svd: Ephone röstar om Ipredöverklaga (DN)

Advertisements
Kategorier:Internet
  1. Jester
    03 juli 2009 kl. 11:48

    Tekniskt sett, enligt de bevis som har inlämnats och som har visats, så skulle allting KUNNA vara planterat. JAG kan enkelt slå igång en ftp och dela disken hos någon jag polar med.

  2. r0tm0s
    03 juli 2009 kl. 13:31

    Vilken rättsröta, om domstolarna hadde egen kompetens skulle dom se hur felaktig denna bevisningen är. Hur kan dom fått detta till att detta skulle vara tillgänglig för allmänheten, Min dator är även den ansluten till internet, och min supportavdelning har tillgång till den via användarnamn/passord, samt vpn tunnel. Om min supportavdelning får besök av APB så skulle dom kunna bevisa att jag tillgänglig gjort både XP, samt office paketet. Detta gäller nog dom flesta som har arbets datorer. Och när ”APB” väl loggat in vad säger att det inte är infiltratören eller APB som har laggt upp dessa? Ser varken användarnamn eller datum på dessa filer eller kataloger om vem som skappat dom. Om en part i målet anställer en infiltratör för att få information, hur tillförlitlig är detta? Om infiltratören hackar valfri dator samt laddar upp filerna så får han pengarna av APB, är det inte därför vi har poliser som gör utredningar, samt sammlar bevis? Kanske är det dags att Solna tingsrätt går på kurs?

  3. kenny_lex
    03 juli 2009 kl. 22:16

    Jag har för mig att de hade synkroniserat tiden med hjälp av en GPS, detta får mig att tro att den person som beskrivs som N.N befunnit sig utanför huset där servern står.

    N.N har sedan loggat in via en lokal IP och sedan laddat ner filerna på så sätt som det beskrivs, men han spar inte filerna på sin egen dator utan sänder dessa vidare till APB, för i annat fall hade infiltratören begått brottet.

    Men om det har skett på något av dessa två sätt så är det inte FTP-Servern eller ägaren som sett till att sprida filerna, det har N.N gjort och brottet har där med provocerats fram. Det vill säga att det var först då N.N hämtade filerna som ett brott begicks och hade inte APB uppmanat N.N att begå brottet så hade givetvis det aldrig ha begåtts något brott.

    Men tyvärr är IPRED inte en antipiratlag som många tror, det är en lag som gör att man som privatperson/organisation i upphovsrättens namn får provocera fram brott för att man senare skall kunna utpressa de drabbade.

  1. 13 oktober 2009 kl. 19:49
  2. 10 oktober 2010 kl. 23:15

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

%d bloggare gillar detta: