2013, Blog

#Redtube #Abmahnung – Der wahrscheinlichste Ablauf

Hallo liebe Gemeinde! Jetzt ist bereits viel zusammengefasst und viel geschrieben worden, aber der abschließende Beweis fuer jede Seite fehlt. Das wird sich insgesamt auch alles sehr schwer zu Ende bringen lassen, wenn nicht mehr veröffentlicht wird. Ich werde versuchen das alles so zu schreiben, dass das jeder versteht. Das wird jetzt keine Doktorarbeit!

Wenn wir uns das Gesamtbild anschauen, sehen wir ein perfektes Gebilde. Diese Abmahnrunde ist das oberflächlich perfekteste Szenario, das ich bisher kenne. Eine Schweizer Firma fordert Ihre Rechte, eine Anwaltskanzlei aus Deutschland unterstützt sie, eine US-Firma liefert den Beweis. Wer braucht mehr?

Wenn man aber, wie geschehen, jetzt hinter dieses Bild schaut, bekommt man mehr Informationen. Das perfekte Bild bröckelt. Zu lesen auf Kowabit mit Links zu anderen Seiten von Anwälten, Bloggern und Zeitungen hier, hier und nochmal hier.

Die Piraten haben Dokumente veroeffentlicht über Praktiken der Abmahnindustrie und am aktuellen Fall beteiligte Anwälte. Die Schweizer Firma hat den selben “Webdesigner”, wie die US-Firma, die den Beweis für die IP-Adressen lieferte. Ich habe das Szenario heute auf wix.com nachgespielt. Beitrag is Online. Die US-Firma ist dazu noch komplett anonym unterwegs, niemand kennt den Chef, die Mitarbeiter oder die Software selbst. Nur ein Postfach in einem Büroservicedienst. Eine andere Kanzlei macht ein Gutachten zu der Beweissicherungssoftware, die uns bisher nicht bekannt ist. Die Glaubwürdigkeit der Akteure ist massiv in Frage zu stellen. Wären die Dokumente der Piraten nicht öffentlich geworden, hätte ich erstmal nur auf die Glaubwürdigkeit von The Archive AG und itGuards geschiehlt, aber dadurch kommt die Anwaltskanzlei ebenfalls ins bloggerische Fadenkreuz. Die Gutachter sind erstmal raus, weil uns Informationen fehlen.

Wenn wir zum Technischen kommen, so muss ich sagen, dass bisher zu wenige Informationen über die angeblich existierende Software GladII 1.1.3 bekannt sind. Ist es ein Windows-Programm, ein Linux-Programm oder doch nur ein einfaches WebScript? Das würde viel Licht ins Dunkel bringen. Das Gutachten zur Software würde die Möglichkeit ergeben den Test fachlich zu bewerten.
Diese beiden Dinge fehlen!!! Diese beiden Dinge sind am Ende dann auch entscheidend, sollten die Abmahner es darauf anlegen. Für alle Betroffenen wäre der beste Fall der Fälle, dass das Gutachten öffentlich wird. Die Entscheidung liegt beim Landgericht Köln! Dann kann erstmal festgestellt werden, ob der durchgeführte Test fachlich richtig war. Wenn nicht, muss die Software erneut getestet werden. Nicht von Anwälten, sondern Softwareexperten! Ist das Gutachten mängelfrei oder hat wenige Mängel, wird es bereits schwieriger. Aber jede Partei hat das Recht ein Gegengutachten zu erarbeiten und dafür müsste die Software selbst zur Verfügung stehen!

Trotzdem möchte ich erstmal ohne diese beiden Dinge weitermachen und meine Vermutung über den Ablauf der IP-Adressgewinnung niederschreiben. Dafür muss ich kurz über die bisher von mir geleugnete Software sprechen. Ist es ein stand-alone Windows-Programm, oder ein stand-alone Programm, dass auf einem LinuxPC läuft, ist es unmöglich Daten über Nutzer von einer Webseite zu ziehen, wenn der Anwender nicht Zugang zu Logfiles, oder anderen auf dem Zielserver liegende Daten hat, die die Software abgreifen kann. Das wäre Zauberei. Anders sieht es aus, wenn wir statt von einer reinen PC-Software von einem WebScript reden, vielleicht in Kombination mit einer Client-Software. Und genau hier sehe ich die einzige Chance für die Abmahner an IP-Adressen gekommen zu sein! Andere Möglichkeiten wären sonst noch das Hacken der Pornoplattform, das Ausdenken von IP-Adressen, das Hochladen von manipulierten Videos oder eine Zusammenarbeit mit dem Pornobetreiber, sowie Werbescripte. Das schließe ich aber aus den Pressemeldungen und bisher recherchierten Informationen aus. Redtube hätte hier bereits seit Tagen aufklären können und hätte es auch getan, denn die Pornoszene kann sich keinen Vertrauensverlust erlauben.

Nehmen wir an GladII 1.1.3 ist ein Webscript mit ClientSoftware oder mit eigener Weboberfläche zur Auswertung. Dieses Script hat mindestens folgende Funktion:

1. Speichert IP Adressen

2. Speichert Uhrzeit und Datum

3. Laut LG Köln soll es Downloadstarts und sogar Klick auf Start und Stopp speichern.

Den dritten Punkt schließe ich erstmal aus, weil auch der doch mit reichlich Fachwissen umgesetzt werden müsste. Ich halte diesen Aufwand für die Abmahner für nicht realisierbar, wenn man Geld verdienen will und in Anbetracht, dass die Firma itGuards Inc. bisher eher ein schlechter Witz ist. Auch viel Geld für entsprechenden Service der bei anderen Firmen eingekauft werden muss, um das zu realisieren, wird nicht geflossen sein, weil somit der Kreis der Zeugen größer werden würde und andere Firmen sich ebenfalls möglicherweise damit strafbar machen könnten. In einer eMail, die ich heute erhalten habe, habe ich einen Link zu einem Service erhalten der weitgehende Nutzeranalyse bei Videostreaming anbietet (Hier entlang!). Ich möchte aber ausschließen, dass sich derartige Firmen in solche Aktivitäten einbinden lassen wollen. Ich gehe hier einfach mal davon aus, denn dieser Service wird garantiert (ohne mich damit auszukennen), nicht so ablaufen, dass jemand Fremdes ein Video, das mit diesem Service bzw. verbundenen Scripten verquickt ist, einfach woanders hochladen kann. Ein digitalesGPS für Videos … hmm … in Flash ja. Aber dafür sind Konsumenten nicht verantwortlich, vor allem bei unbekannten Pornofilmchen.

Weiter: Dieses Webscript könnte natürlich mit einer ClientSoftware auch auf einem Windows- oder Linux-PC abgefragt werden. Das ist das, was ich bisher aus den Gutachtenzitaten entnommen habe. Es wurden Testdateien hochgeladen, abgerufen und die Software hat die IPs und Uhrzeit/Datum eines Testabrufs gespeichert und wurde über die ClientSoftware abgerufen. So verstehe ich das bisher.

Das Problem hierbei ist, dass das Script beim Pornoanbieter auf dem Server liegen müsste. Der Pornoanbieter hat das bereits verneint. Gehen wir davon aus, dass das stimmt und von Außen kein Zugriff auf die Logdaten von Redtube möglich ist und auch kein Fremdscript wissentlich eingebaut werden kann. Würde der Abmahner darauf bestehen direkt Zugriff auf den Videoanbieter zu nehmen, müsste er Redtube gehackt haben. Eine Sicherheitslücke auszunutzen, ist Hacking!

Wenn wir davon ausgehen, dass dieser Aufwand den Abmahner auch zu viel ist (Ist auch strafbar!), dann bleibt nur noch eine andere Möglichkeit. Sie haben Leute schlicht in die Falle gelockt. Genutzt haben sie dafür die einfachste Möglichkeit, die bereits seit Jahren in der Domainparkingszene genutzt wird: Vertipperdomains. Einige Blogs und Foren haben bereits die Themen diskutiert. Es ist jedoch etwas untergangen. Ich reduziere nach bisherigem Wissensstand die Möglichkeit der IP-Adressgewinnung auf genau dieses Szenario.

Die Verantwortlichen können auf einem Server auf dem eine Vertipperdomain ihre Heimat hat ein Script installieren, das vielleicht GladII heisst und einmal alle Daten der Besucher speichert (IP, Zeitstempel) und dann zum Pornoportal weiterleitet. Das ganze läuft so schnell ab, dass der Nutzer das nicht sieht. Die Macher der Vertipperdomain wüssten dann aber auch, dass der Besucher am Ende auf redtube landete. Sie haben ihn/sie hingeschickt. Abmahnung folgt! Eine bereits diskutierte Domain ist retdube.net ! Hier wurden einfach die Buchstaben “dt” vertauscht. Die Domain ist es aber nicht alleine. Zusammen mit retdube.net wurden am 21.Juli 2013 die Domains retdube.co und retdube.me gesichert. Der kundige Leser wird jetzt wissen was kommt: Panama. Also anonym registriert. Der Hoster sitzt in den USA. Über diese Domains könnten jetzt auf Dateien zum legendären GladII geleitet worden sein. Alles wurde mitgeloggt und der Nutzer wurde dann weitergeleitet zum Pornofilmchen.

Wie der Nutzer dahingekommen ist, ist eine andere Sache. Einige werden sich vertippt haben, als sie eine Porno-Recherche starten wollten. (Pause) Passiert. (Pause) Die Werbeindustrie hat das mit Vertipperdomains aber schon immer ausgenutzt. Ich habe heute für 49$ einen interessanten Geschichtereport über retdube.net gekauft. (Spenden werden gerne angenommen! Bin ja nur privat hier! 🙂 ). Diese Domain wurde seit 2009 bis zu Ihrer NeuRegistrierung in diesem Jahr tatsächlich ausschließlich geparkt genutzt, um Werbung einzublenden. Das kann man anfangs auch machen, um in etwa festzustellen, wieviele Leute sich im Monat vertippen. Weitere Indizien für das Nutzeraufkommen über diese Vertipperdomains wurden ebenfalls bereits diskutiert. Beispielsweise über sogenannten AdultTraffic den jeder jederzeit kostengünstig kaufen kann. Es gibt also Service die bieten an Besucher gegen Geld auf Pornoseiten zu leiten. Auch das ist ein Teil des möglichen Szenarios. Dahingehend sind jetzt die Nutzer am Zuge, die in Ihrem Cache bzw. ihrer Browserhistory nachweisen können, dass sie statt auf redtube, auf retdube aktiv waren. In einigen Foren wurde darauf hingewiesen. Dazu gibt es auch eine Grafik, die im lawblog in den Kommentaren zu finden ist und sich auf die retdube.net Domain beschränkt. Hier kann sie abgerufen werden und stellt die Sache mit den Zeiten auch grafisch dar. Ich weiß leider nicht wer dafür verantwortlich ist. Bitte Info, falls bekannt. Woher die Zahlen kommen, wäre noch wichtig. Der enorme Anstieg des Traffics weist darauf hin, dass enorm Besucher hinzugebucht wurden bzw. eine Kampagne für diese Webseite (retdube.net) durchgeführt wurde. Also Werbung, um Besucher zu bekommen, deren IPs abgephisht werden konnten. Ich kenne mich mit Pornotraffichandel nicht aus. Bei Facebook und Twitter ist ja bekannt, dass man Follower kaufen kann. Auch gezielt nach Ursprungsland. Warum sollte das hier nicht auch möglich sein? Also ein gezielter Angriff auf deutsche Internetnutzer, weil das Abmahnparadies noch immer fruchtbar ist. Neben dem Vertippen gibt es aber eine unendlich lange Liste, wie die Betroffenen auf diese Domains gekommen sind. Dazu zählt falsche Werbung, Spam, PopUps und und und! Wahrscheinlich haben die meisten Betroffenen das sowieso gleich wieder weggeklickt.

Die Realisierung dieses Vorhabens ist insgesamt ziemlich einfach und würde meiner Ansicht nach eher zur Abmahnindustrie passen. Mit wenig Aufwand leicht verdientes Geld! Wenn wir zum gesamten Bild zurückkehren müssen wir folgendes festhalten:

1. Die Abmahner können NIE zweifelsfrei beweisen, dass Abgemahnte die Videos gesehen haben. Dagegen spricht, dass sie keinen Zugriff auf die Serverdaten von redtube haben. Sie haben auch keinen Zugriff auf die Einstellungen am lokalen PC eines jeden Users. Auch das hat Auswirkungen auf einen Stream! Die Start- und Klick-Behauptung im Gutachten stelle ich in Frage. Dafür müsste die Videoseite unter der vollständigen Kontrolle der Abmahner stehen. Ist aber nicht so. Einzige Möglichkeit hier eine reine Phishing-Seite von redtube mit eigenem Player. Der Aufwand wäre gigantisch. Die Abmahner haben außerdem versäumt redtube.com abzumahnen um die Löschung von urherberrechtlich geschütztem Material (falls es je da war) zu veranlassen. Betroffene müssen nach deutschen Recht ihren möglichen Schaden bei Möglichkeit selbst reduzieren helfen. Wer nach deutschem Recht klagt, sollte auch nach deutschem Recht handeln.

2. Die Abmahner haben Zweifel geweckt, was Ihre geschäftlichen Aktivitäten betrifft. Verquickung Archive & itGuard sei erwähnt und durch Piratenveröffentlichung ist auch die abmahnende Kanzlei vorbelastet. Der Vernetzung insgesamt lässt Ermittlungen von keiner Seite wirklich richtig zu. Schweiz, Deutschland, USA, auch Panama. Niemals könnten alle Daten korrekt durch Behörden oder Anwälte zusammengetragen werden. Es ist eine Aktion auf gut Glück. Wer freiwillig zahlt, dem lächelt man nach. Und wenn das Geld im Pott reicht, kann ja nochmal jemand verklagt werden, der bspw. ausführlich Stellung nimmt und sich den Anwälten gegenüber rechtfertigt. Die kriegt man am schnellsten abkassiert. Wer sich rechtfertigt, klagt sich an!

3. Das Gutachten muss veröffentlicht werden. Das würde helfen den Fall aufzuklären. Hier hatte mich stutzig gemacht, dass laut Pressemitteilung des LG Köln im Gutachten steht, dass die Software GladII beim Abrufen der Daten das Datum und die Zeit inklusive IP dargestellt hat, die der Gutachter sich auch notiert hatte. Das hat mich etwas stutzig gemacht. Denn, wenn ein Zugriff auf einen Server erfolgt, speichert dieser Server nach seiner Serverzeit. Außer mir gehört der Server und ich will was anderes. Ob redtube-Macher die deutsche Zeitzone so toll finden, das weiß ich nicht! Wenn ein Server in den USA betrieben wird, haben wir aufgrund der anderen Zeitzone (Erde ist eine Kugel – Tag und Nacht) dort auch eine andere Uhrzeit. Das heisst, wenn ich um 20 Uhr in Deutschland ein Video in den USA (Arizona) abrufe, dann speichert der Server in den USA in der Regel meinen Zugriff für 12 Uhr Ortszeit. Wenn der Gutachter jetzt in den USA ein Video hochgeladen und runtergeladen hat und die Software GladII im Nachhinein die Ortszeit vom Gutachter, die er sich notiert hat, aufzeigt, dann hat man die Daten des Gutachters unterwegs abgefangen und zwar in unserer Zeitzone. Bspw. durch ein zwischengeschaltetes Script, dass nicht auf dem Videoportal läuft, sondern woanders. Also ein Wegelagerer. Phishing. Der Zeitstempelaspekt sollte definitiv nicht vergessen werden!!! Wenn das so, wie ich es bisher überall gelesen habe, im Gutachten stehen sollte, haben sie sich damit verraten. Es würde auch zeigen, dass sie NICHT auf Fremdserver zugreifen können. Zeitstempel nicht vergessen! In der IT-Forensik von enormer Bedeutung. Dem Gericht hätte es gut gestanden das Gutachten bereits zu veröffentlichen. Ich gehe nicht davon aus, dass es sich jetzt noch ändern wird!

4. Die Software muss von unabhängiger Seite getestet werden. Bei einer so umfangreichen Abfrage bei Gericht, hätte das dort eigentlich geschehen müssen. Meine Meinung.

5. Der Betroffene: “Herr Richter, ich war niemals auf diesem Pornoportal.” Es gibt keine originalen Logfiles von redtube. Es gibt keine gespeicherten Datenverbindungen vom Provider. Es gibt nur die Behauptung einer Schweizer Firma (+ itGuard) und Anwälte in Deutschland, die diese Firma vertreten. Und jetzt verweise ich wieder auf Punkt 2. Es wäre hilfreich, wenn sich Betroffene, die NICHT zahlen wollen, organisieren! Zeugenlisten, Eidesstattliche Erklärungen, Datensicherungen vom Cache oder eigenen Syslog-Server und Aussagen, die ein Gesamtbild dessen was hier passiert ist, zusammensetzen. Denn wie am Anfang beschrieben: Oberflächlich ist es die perfekte Abmahnung! Unter der Oberfläche kann man die Forderung jedoch aus dem Weg räumen. Die Liste mit interessanten Links werde ich in diesem Blogbeitrag weiterführen und hoffe es hilft Betroffenen!

Ich bin der festen Überzeugung, dass der unbekannteste Amtsrichter dieses Landes in diesem Fall, bei Darstellung aller Hintergründe, jede Klage abweist. Ohne Gutachten und ohne Softwareprüfung bleibt bis jetzt das IP-Phishing als Rätsel im Raum. Ich glaube nicht, dass die Adressen auf legalem Wege festgehalten wurden, sondern Nutzer einfach auf ihrem Irrweg durch das Internet, beim Abbiegen auf eine falsche Domain der Wegelagerei zum Opfer vielen. Um das mit diesem Bild zu beschreiben.

 

Irrtümer sind nicht ausgeschlossen. Nehme gerne Kritik und Hinweise entgegen. Der Beitrag ist die Auffassung des Autors, basierend auf öffentlich zugängliche Informationen.

Danke für die Aufmerksamkeit! Schönes Wochenende!

Tagged , , ,