måndag 6 april 2009

Danowsky måste ha varit stupfull

Jag refererar i inlägget till http://www.nyteknik.se/multimedia/archive/00045/Ljudboksf_rlagens_Ip_45069a.pdf
(Danowsky & Partners Advokatbyrås ansökan om informationsföreläggande, inlämnat till Solna tingsrätt 2009-04-01, i dess pdf-form med tillhörande sidnummer)

Jag använder advokat Danowsky som svarande, då det är han som lämnat in ansökan till tingsrätten. Huruvida det är Danowsky som genomfört de beskrivna procedurerna finner jag irrelevant.

Jag tänkte peka på några brister, fel och/eller oti
llräckliga bevis i denna ansökan, som följer:

- - -

Hävdan nummer 1
"Den programvara som visas är klientprogramvaran FlashFXP, med vars hjälp kommunikation har skett med FTP-servern.

Av den första bilden, bilaga 4, framgår i det vänstra fönstret de kataloger som finns skapade på FTP-servern. I motsvarande fönster på höger sida visas den egna datorn."
(ur Danowskys ansökan, pdf-filen, sida 4, tredje stycket)
FEL. Det Danowsky hävdar är en ren lögn.

Det finns två visningslägen i FlashFXP: remote och local. Dessa kan användas i formerna remote/remote; local/local; local/remote; remote/local. Nedan visas local/remote:
"Remote" visar externa FTP-servrar, "local" visar den egna datorn. De båda går att skilja åt enkelt genom att remote har en ikon för att ansluta mot en server (blixt-ikonen), medan local i stället har texten "Local Browser".

Jag grundar mitt påstående på följande bevis:

1. Det "motsvarande fönster",
höger sida, som Danowsky hävdar är "den egna datorn" visar i bilaga 4, bild 1 (pdf sida 26) -- tvärtemot vad Danowsky hävdar -- ännu en FTP-server. Vi kan enkelt se att så är fallet med hjälp av blixt-ikonen längst upp i bild.

2. De båda externa FTP-servrarna är dessutom betitlade (längst ner i bild) med "WC" respektive "VMS". Hade det varit en lokal lista på mappar hade vi där sett en sökväg med en enhetsbeteckning, t.ex. "F:\FlashFXP", som bilden ovan visar.

3. Sökvägen uppe till höger i Danowskys "egna dator" är "/1340/". På en FTP-server är den lägsta nivån i ett mappträd detsamma som tecknet för root: "/". Vi ser Windows Startmeny; Windows aktivitetsfält, lägg därtill att FlashFXP är ett program för Windows, och vi kan även se Windows egna "Egenskaper för Datum och tid", som Danowsky använder för att visa aktuellt datum och tid. Hade höger sida visat "den egna datorn" som uppenbarligen kör Windows, hade vi återigen sett en sökväg med enhetsbeteckning, t.ex.
"F:\FlashFXP". Detta visar i klartext att Danowsky är inloggad på en extern maskin, där han lagrat ljudboksfilerna i fråga i en mapp betitlad 1340 direkt under root.

Ovidkommande reservation: Danowsky skulle vid en utfrågning kunna hävda att "VMS" är namnet på en FTP-server som körs på hans "egna dator", men för detta finner jag ingen grund. Danowsky har inte bifogat några bevis för att "VMS" är hans egna dator, tvärtom har han valt att helt utelämna information om servern "VMS", vilket jag finner suspekt -- det skulle faktiskt gagna Danowskys bilagor, hans så kallade "bevis", att styrka detta.

- - -

Hävdan nummer 2
"Slutligen framgår av den åttonde bilden, bilaga 11, att nedladdning från den angivna katalogen SWEDiSH pågick vid det aktuella tillfället avseende ett exempel av verken i bilaga 1."
(ur Danowskys ansökan, pdf-filen, sida 4, sista stycket)
FEL. Danowsky skickar filen till en annan server.

Att han använder just ordet "nedladdning" är högst missvisande. Nedladdning betyder per definition "att ladda ner något till sin egen dator". Det enda som framgår av bilaga 11 (d.v.s. bilden på pdf-filens sista sida) är att en av filerna håller på att överföras till den okända FTP-servern "VMS".

- - -

Hävdan nummer 3

"Intrången har inneburit bl a att verken tillgängliggjorts för allmänheten"
(ur Danowskys ansökan, pdf-filen, sida 5, fjärde stycket)
Bevis saknas för detta påstående.

Danowsky har inte bifogat några bevis för att dessa verk skulle ha tillgängliggjorts för allmänheten.

Jag råkar veta att d
en här FTP-servern är en del av den så kallade "Scenen". Detta enligt tillförlitliga källor som jag väljer att hålla anonyma, för både deras och min egen säkerhets skull. "Scenen" definieras helt korrekt på Svenska Antipiratbyråns hemsida som "en extremt sluten grupp it-kunniga personer runt om i världen". Denna extremt slutna grupp kan inte ses som allmänheten, hur gärna Danowsky än vill. Jag skulle tvärtom säga att denna extremt slutna grupp är den totala motsatsen till allmänheten.

Det cirkulerar påståenden på diverse bloggar och forum att inloggningsuppgifter till FTP-servern ska ha publicerats på ett forum, lätt åtkomligt för allmänheten. Jag har väldigt svårt att finna någon anstymmelse till sanningsgrad i detta påstående, då detta är totalt kontraproduktivt för FTP-serverns användarbas och ägare -- som (återigen) är en "extremt sluten grupp", vilken verkar för att bibehålla denna slutna status.

- - -

Hävdan nummer 4

I pdf-filen är beskrivet hur Anders Nilsson, på uppdrag av Svenska Antipiratbyrån, använt programmet "CommView" för att, som han påstår, säkerställa att verken laddats ner från IP-numret i fråga:

"Av denna redogörelse framgår att nedladdningen av respektive verk gjordes från samma IP-adress."
(ur Danowskys ansökan, pdf-filen, sida 9, sista stycket)
Bevis saknas för detta påstående.

Det enda hans otaliga skärmdumpar visar är att han överfört en viss mängd data från IP-numret i fråga. Det finns inga referenser som visar att det är en specifik fil eller mapp som överförts, tvärtom skulle man hellre misstänka att det är helt legitim trafik, eftersom han valt att inte bifoga annat än egenhändigt döpta HTM-filer. Bevis för överföring av de faktiska verken skulle ge en gnutta kredibilitet till det otal skärmdumpar som är bifogade. Då CommView har medel för att
se datan som överförs ("Browse captured and decoded packets in real time.", från CommViews hemsida, under "What you can do with CommView") kunde man begära att denna data bifogades, när ändå annan data extraherats ur programmet.

- - -

Jag är ledsen, Danowsky och dina hejdukar i Svenska Antipiratbyrån, ni har bara lyckats göra mig och alla jag känner som läst er IPRED-ansökan mer benägna att tro att det är något lurt i görningen denna gången också, att ni begått dataintrång (brutit mot lagen) för att tillförskansa er vad ni tror vara bevis.

Vi har sett det förr -- i form av bevisplantering av en av Svenska Antipiratbyråns anställda -- när Bahnhofs servrar beslagtogs för illegal fildelning vid en husrannsakan. Kan det möjligtvis vara så att Svenska Antipiratbyrån planterat bevis igen? Det är mer troligt att så är fallet än att en extremt sluten grupp personer skulle ge en lillgammal lobbyorganisation som Svenska Antipiratbyrån tillgång till en privat FTP-server.

Grattis till ingenting, era sorgliga amatörer. Hoppas både advokaterna och Jan Guillou sätter sina rikedomar i halsen. IPRED kommer falla i glömska som effekt av att det aldrig kommer kunna åberopas, om det är så här ni spenderar pengarna för att införskaffa bevis.

- isutoshi

Läs även den intressanta artikeln på SvD.se


Fotnot: Tycker du att jag har fel någonstans är du välkommen att lämna en konstruktiv kommentar.

24 kommentarer:

isutoshi sa...

Annan intressant läsning:

"Tragiskt att Guillou svikit sina ideal för pengarna" - http://newsmill.se/artikel/2009/04/01/tragiskt-att-guillou-svikit-sina-ideal-pengarna

"Antipiratbyrån kan ha begått dataintrång" - http://www.svd.se/opinion/brannpunkt/artikel_2701391.svd

Anonym sa...

Visar inte CommView-rapporterna att data skickats från hans dator, Direction "OUT"

en vän sa...

Mycket bra analys.

APB/Danowsky polisamäld och anmälan registrerad.
http://blogg.aftonbladet.se/21909/perma/1178448

Anonym sa...

Jag hoppas verkligen någon försöker att uppmärksamma tingsrätten på det här. Det finns ju inget bevis för att dom laddat ner filerna ens. Vad i helvete pågår?

Anonym sa...

Glöm inte heller att "Scenen" brukar ha ip-range låsta konton.

Detta måste tas i beaktning när det gäller det påståendet att user/pass/login uppgifterna fanns postade på något forum.

isutoshi sa...

Anonym skrev, den 7 april 2009 11:23:
"Glöm inte heller att "Scenen" brukar ha ip-range låsta konton.

Detta måste tas i beaktning när det gäller det påståendet att user/pass/login uppgifterna fanns postade på något forum."

Helt sant, vilket betyder att denne infiltratör måste använt kontoinnehavarens dator/proxy eller fått sitt eget IP tillagt, d.v.s. utgett sig för att vara någon annan.

Anonym sa...

Dessutom används sk ident för att säkerställa ytterligare säkerhet

DVS
-Rätt IP-range
-Rätt Befogenhet
-Rätt Login och Lösen
-Rätt Ident
-Rätt SSL
-Rätt Ratio

Knappst något som allmänheten förfogar över

Att APB´s hejdukar skulle fått detta utan att stjäla( data-intrång) alt delta i uppladdning (brottprovikation) är helt osannolikt

Michael Gajditza sa...

Hej!

Eftersom jag har polisanmält APB för dataintrång så vore det värdefullt att kunna komplettera polisanmälan med det du skrivit. Själv har jag alls inte den nödvändiga kompetensen och jag betvivlar starkt att rådman eller nämndemännen i tingsrätten heller har den.

Jag skickade info till Solna Tingsrätt i morse angående den gjorda polisanmälan och jag skickar gärna din text även dit om det är ok?

Du kan höra av dig på min blogg o lämna besked där.

Vänliga hälsningar Micke

isutoshi sa...

Michael Gajditza skrev, den 7 april 2009 16:29:
"Eftersom jag har polisanmält APB för dataintrång så vore det värdefullt att kunna komplettera polisanmälan med det du skrivit. Själv har jag alls inte den nödvändiga kompetensen och jag betvivlar starkt att rådman eller nämndemännen i tingsrätten heller har den."

Precis, det är just kompetensen kring it-frågor och it-protokoll som jag känner skulle kunna saknas vid tingsrättens beaktande av dessa så kallade "bevis".

Väldigt bra initiativ av dig att polisanmäla denna oförrätt för övrigt! Du har mitt fulla stöd och har full rätt att använda allt du känner skulle kunna hjälpa dig i denna blogg. Behöver du något mer är du varmt välkommen att kontakta mig. Det kanske rentav skulle vara enklare om jag sammanställde det i ett annat format (blogginlägg känns för mig lite begränsande, det räcker dock för övergripande teser).

Lämnar även min tillåtelse på din blogg, enligt din önskan.

Michael Gajditza sa...

Tack för det.
Då kopierar jag hos dig och gör om det till en pdf-fil och skickar sedan vidare till både polisen som komplettering av min anmälan och till Solna tingsrätt som ett underlag för rätten då de ska bedöma Danowskys begäran om informationsföreläggande.

Problemet är ju att det inte finns någon formell svarande som kan ta del av materialet så jag hoppas att det går att få tingsrätten att ta det som någon form av kunskapsunderlag för sin bedömning. Man kan inte göra annat än försöka! Tack igen!!

Unknown sa...

Väldigt bra dissekering av åtalet. :) Utan granskande människor som dig skulle världen inte vara värd att leva i mycket längre.

Rent generellt menar jag nu:
När jag undrar lite på om de på något sätt skulle ha infiltrerat denna slutna grupp, fått tillåtelse att använda en användares konto och sedan "komma åt" sådan här information. Räknas det då fortfarande som dataintrång då de fortfarande inte fått tillåtelse av FTP ägaren?
Oavsätt hur de nu fick tag på användarkontot/anslutningsinformation eller whatever, är inte överdrivet insatt i scenen.

LeChuck sa...

Vidare skriver Anders Nilsson i "PM angående Commview report" att han kontinuerligt synkoniserat tiden med hjälp av GPS. Vanligtvis använder datorer NTP (Network time protocol) för att ställa datorns klocka och inte GPS. Det finns ingen skärmdump som visar något användande av detta eller att tiden skulle vara korrekt. När man väl har uppe "Egenskaper för datum och tid" vet väl också alla hur lätt det är att ändra tiden själv.

Stefan sa...

@LeChuck
Det är följt möjligt att de har kopplat en GPS-klocka till datorn och synkat tiden mot GPS-systemet. Jag ser iofs inte varför man skulle vilja göra så i det här fallet när det är betydligt enklare att synka mot de öppna ntp-servrarna. Å andra sidan så är frågan bara av akademiskt intresse eftersom de inte har presenterat några som helst bevis för kvaliten på deras klocka.

isutoshi sa...

Det LeChuck pekar på är helt korrekt, det finns inga som helst bevis för att tiden överensstämmer. Windows interna klocka går utan större besvär att ställa om till den tid som helgar ens ändamål. Jag tar mig friheten att lägga till denna detalj till mitt blogginlägg senare, jag tänkte inte på det vid mitt första utkast.

Unknown sa...

Tittar på rapporterna som är genererade av CommView. Där står det att Processen som sänt/tagit emot data heter ServUDaemon.exe. Denna måste väl köras på den egna datorn antar jag för hur skulle CommView veta vad processen heter på andra sidan anslutningen?

Söker man på google på vad detta är för process så kommer man fram till att det är en ftp server. http://www.serv-u.com/

Detta tyder ju på att man körde en ftp server på den egna datorn och gjorde en server till server transfer eller?

I ansökan står det att det program som visas är FlashFXP med vars hjälp kommunikation skett med servern. CommView loggarna visar dock inte att det är detta program som kommunicerat med servern på något sätt? Alltså faller ju bevisen

Är jag fel ute här så rätta mig?

isutoshi sa...

Martin: Precis, CommView har övervakat en FTP-daemon, nämligen Serv-U. Det nämns dock inget om vilken dator Serv-U körs på -- man skulle kunna spekulera i att den körs på en dator i Asien lika gärna som APB skulle hävda att den kördes lokalt.

Varför gå igenom allt besvär med att sätta upp en FTP-server hos sig själv, när allt som tydligen behövs är att de laddar ner filerna till den egna datorn (notera att de använt just ordet "nerladdning" och inte så kallad "FXP", d.v.s. server-till-server).

Som du säger saknas också uppgifter på att det verkligen är FlashFXP CommView övervakat. Lägg därtill att det helt saknas information om vad som överförts, de enda s.k. "bevis" som finns är egenhändigt döpta HTM-filer med personnamn. Det finns ingen koppling mellan dessa HTM-filer och någon FTP-server. Absolut inte hållbart enligt mig!

Jag hoppas bara att tingsrätten har tillräcklig kompetens i detta ämne för att kunna avfärda dessa horribla försök till ogiltig extrahering av personuppgifter.

Stefan sa...

Jag tycker det verkar som om APB testar vilken nivå på bevisningen som behövs för att få till ett beslut om att lämna ut personuppgifter. Det här är bara första försöket på absolut lägsta möjliga nivå. Om tingsrätten köper det här så behöver APB inte lämna ut någon relevant information satt i något som helst tekniskt relevant sammanhang för att få ut personuppgifter. Då räcker det med att de säger att de har sett något blandat med lite teknisk rappakalja för att få gå vidare.

Min (IANAL) bedömning är att de försöker visa att det finns upphovsrättsskyddat material på ftp-servern och att det går att kopiera den till en annan maskin. Men det räcker väl ändå inte? De måste också visa att den varit tillgänglig för ett tillräckligt stort antal människor och att dessa faktiskt har kopierat information ifrån servern.

Anonym sa...

isutoshi, har denna analys nått ephone, operatören i fråga? De ska ju kämpa emot och lär behöva allt understöd de kan få.

http://www.ephone.se/

isutoshi sa...

Stefan: Jag är rädd för att du har rätt, de försöker nog se till så att de i fortsättningen bara ska behöva lämna in själva kravet och en signatur, typ.

Du har även rätt i att de måste visa att filerna funnits tillgängliga för allmänheten, vilket de hittills inte gjort.

Mikael Nilsson: Jag ska göra ISP:n uppmärksam på min blogg, så de också kan ta del av informationen. Tack för tipset!

Tor sa...

Mikael Nilsson,
jag tror att Michael Gajditza har skickat informationen till både Ephone och tingsrätten.

Anders Andersson sa...

Tilläggas kan att den lokala IP-adress som anges i rapporten från CommView är 192.168.150.3, alltså en privat IP-adress som inte syns på Internet utan bara används bakom en NAT/proxy på klientens eget nät. Vilken IP-adress klienten har uppträtt med gentemot servern "WC" och därför skulle kunna finnas i dess loggar framgår därmed inte av ansökan.

Om nu APB vill göra gällande att denna klient representerar "allmänheten", skulle inte upplysning om IP-adressen styrka detta påstående? Jag förstår att APB i det längsta vill undvika att röja vilka adressrymder de använder för att de inte skall bli identifierade och blockerade, men dels riskerar den informationen att läcka ut ändå från de serverägare som drabbats av påhälsning med åtföljande rättsprocess, dels borde det inte vara alltför svårt för APB att abonnera på temporära adresser hos någon större ISP för att undgå svartlistning.

Om åtkomst till servern verkligen är begränsad till en mindre del av IPv4-rymden, då måste APB ha fått tillgång till en adress i sagda del, och därmed faller påståendet om "allmänheten". Det verkar onekligen motsägelsefullt att APB inte vill avslöja vilken metod som använts för att "upptäcka" en verksamhet som sägs ha bedrivits i offentlighetens ljus (ungefär som om polisen skulle ha använt sig av civilklädda spanare för att inhämta bevis för att någon utan tillstånd anordnat en allmän sammankomst med hundratals deltagare på stadens torg).

En liknande situation uppstod 1997 vid Stockholms tingsrätt i processen mellan Religious Technology Center (RTC) och Zenon Panoussis angående spridningen av NOTs (New era dianetics for Operating Thetan). Panoussis hävdade att NOTs var ett offentliggjort verk, och att han därför fick framställa enstaka exemplar av det för enskilt bruk inom "en sluten krets" (1996 var lagen betydligt liberalare på den punkten än idag). RTC bestred detta, och hävdade i stället att verket aldrig hade offentliggjorts, utan endast visats för "en sluten krets" mot löfte om sekretess. Problemet var att parterna hade vitt skilda uppfattningar om hur vid denna krets av personer kunde vara och ändå betraktas som "sluten", och de hänvisade till motsatta kriterier för bestämmande av upphovsmannens respektive exemplarframställarens slutna kretsar. Vid den förberedande förhandlingen i december 1996, där jag satt bland åhörarna, pressades RTC på uppgift om hur många som lovligen fått ta del av verket, och det ungefärliga svar som gavs rörde sig om "tusentals" om inte rentav ett femsiffrigt antal. Domaren föreföll skeptisk: "Så tusentals personer skulle utgöra denna slutna krets? Hmm..."

Daniel sa...

TLDR: Om det här räcker som bevis blir det fritt fram för vem som helst som kan hantera ett bildbehandlingsprogram att kräva ut uppgifter om vilka IP-nummer som helst.

Långa versionen: Här är några punkter som borde påpekas för rätten (sorry för wall of text):

1. FlashFXP-dumparna säger ingenting om vilka IP-nummer som är inblandade. WC och VMS är namn på inlagda "favoriter" och kan peka på vilka IP-nummer som helst.

2. CommView-loggarna säger ingenting om vad det är som överförts. Även om filnamnen stämmer är det bara de 5 sista av de 15 loggarna som har motsvarande mappar med på bild (höger på sidorna 26-32). Har filerna från de första 10 loggarna, sammanlagt ca 10 GB data, kontrollerats och sedan raderats? Den första loggen var klar 03:28, men filerna är inte kvar när första skärmdumpen tas, 2 timmar senare, 05:37. För musik är 10 GB MP3 ungefär 170 timmar att lyssna igenom (ca 1 MB per minut är vanligt). För tal blir det fler timmar.

3. Leif GW Persons bok det enda verk där storleken står både i skärmdumparna (662 MB) och i loggen (drygt 700 MB). Det skiljer alltså 40 MB, vilket jag inte kan avfärda som varken avrundningsfel eller metatrafik för ftp-sessionen. Igen, 14 av 15 loggar säger att något har överförts, men ingenting om vad. Det finns inte ens skärmdumpar att jämföra de andra loggarna med. I det enda fallet vi kan jämföra med något stämmer inte siffrorna.

4. Hänglåsen nere på statusraden på skärmdumparna innebär att anslutningarna till båda datorerna är krypterade. En krypterad server är sällan avsedd för allmänheten.

5. Ingenting visas av login-processen. En server som tillåter anonyma anslutningar utan lösenord kan säkert anses vara tillgänglig för allmänheten men om så var fallet här hade de säkert påpekat det.

6. Alla ftp-kommandon är (sannolikt avsiktligen) dolda. Det är aktiverat by default i FlashFXP och information om vilka IP-nummer som är inblandade kan synas där (t.ex. vid PORT).

7. Det finns inget som säger att mapparna på den lokala datorn (höger) innehåller de påstådda verken. Alla står som 0 bytes och kan lika gärna vara tomma mappar.

8. Storlekar finns däremot angivna på alla mappar hos den anklagade. Jag har aldrig stött på det förut (använder för tillfället FlashFXP själv, och där visas storleken inte konsekvent ens för cachade mappar). Någon som känner till en serverprogramvara som skickar med storlekar på mappar vid LIST, eller hur man annars får den informationen tillförlitligt i FlashFXP?

9. Att inställningar för klockan är öppen visar inget annat än hur lätt det är att ändra klockan till vilken tid som helst.

10. På alla utom en skärmdump där Paint är öppet står det "namnlös", att bilden inte har sparats än, på ikonen i aktivitetsfältet. Den avvikande står det "Image 6" på. Om det är inkonsekvens eller manipulation kan bara personen som gjorde det svara på.

Rätta mig gärna om jag har fel.

seblos sa...
Den här kommentaren har tagits bort av skribenten.
Unknown sa...

Jag kom fram till exakt samma slutsats som du om vad som hänt, fast en månad senare :) Jag skulle vilja ha kontakt med dej; skicka ett mail på kontaklänken på http://tinyurl.com/lo9sdv