#redtube #Abmahnung Das Gutachten zum GLADII-Gespenst ist da! UPDATE geplant!

ACHTUNG!!! Ein Update findet Ihr unter http://kowablog.de/gladii2/ .

 

Es ist soweit. Endlich ist das Gutachten online. Es kann hier direkt heruntergeladen werden. Danke an die Anwaltskanzlei, die uns das ermöglicht hat. Schade, dass das LG Köln nicht den Mut hatte es zu veröffentlichen.

Fangen wir mal an und prüfen, ob der Gutachter sein Ziel erreicht hat.

Erstmal besucht nochmal diesen Beitrag: SITIRI-Test

Dann druckt euch das Gutachten aus und wir gehen es zusammen durch.

Unter dem Punkt 1 im Gutachten geht es nur um den Auftraggeber. Das Gutachten soll für die Firma itGuards Inc in den USA erstellt worden sein. Erinnern wir uns, die Firma wurde erst im März 2013 gegründet.
Später im Gutachten werden wir darauf stoßen, dass der Test bereits im Dezember 2012 durchgeführt wurde. Bewerten können das Juristen in wie weit das Auswirkungen auf das Gutachten hat. Ich denke mir meinen Teil.

Es geht in dem Gutachten grundsätzlich um die Funktionstüchtigkeit von GLADII 1.1.3. Es geht in dem Gutachten nicht um die Funktionsweise!!! Das macht einen Unterschied aus und zeigt den Wert des Gutachtens der Kanzlei Diehl und Partner in meinen Augen. Um auch gleich vorzugreifen: Ich halte das erarbeitete Stück Papier der Kanzlei Diehl und Partner nicht für ein Gutachten, sondern nur für ein Testprotokoll. Lückenhaft und oberflächlich. Deshalb spreche ich auch nur von Tester, statt von Gutachter. Wenn das gutachterliche Arbeit in Deutschland ist, dann haben wir schwere Probleme. Es ist fast wie in der Kriegsführung. Wenn der Gegner behauptet oder den Eindruck macht die dicksten Eier zu besitzen, aber man irgendwann feststellt, dass der gar keine hat, dann hat man den Kriegsverlauf in der Hand. Nicht umsonst haben die Abmahner in den letzten Tagen den Schwanz eingezogen. Das jetzt vorliegende Softwaretestprotokoll unterstützt nach meiner Meinung die Thesen der vergangenen Wochen über die Software und das IP-Phishing.

Unter Punkt 2 legen die Tester die Ziele fest.

1. Beim Test der Software sollte die Identität der jeweils heruntergeladenen Datei korrekt erfasst werden. Der Tester will also sicher sein, dass die heruntergeladene Datei die Datei ist, die er überwacht. Der Typ, der die eidesstattliche Versicherung abgegeben hatte, musste das trotz GLADII immer manuell machen. Oder erinnere ich mich jetzt falsch?

2. Dann soll der Beginn des Downloads richtig erfasst werden. Das ist insoweit wichtig, da ein Stopp des Downloads/Streaming, sowie ein Abbruch nicht Bestandteil des Ziels sind.

3. Die IP-Adresse des Downloaders soll richtig erfasst werden. Das ist dann die wichtigste Information, um an Adressen von Videokonsumenten heranzukommen und absolut einfach. Ich habe in meinem SITIRI-Test bereits gezeigt, wie das, was die Tester mit GLADII gemacht haben, funktioniert. (Ich hoffe, die haben nicht das gleiche 12 $ Script gekauft, wie ich! *grins*)

Bereits unter Punkt 3 wird das Ergbnis präsentiert: Die Software kann alles, was zum Erreichen des Ziels nötig war. Sensationell. Hat mich 12 $ gekostet den Beweis anzutreten, dass sowas geht. Da das Ergebnis jetzt bereits dargeboten wird, könnten sich fachfremde Personen zu dem Schritt verleitet fühlen, aufzuhören zu lesen. Es ist ja alles erledigt! Oder?

Denn jetzt soll es ja ins Detail gehen. Und das ist nur was für enorme Fachleute. Für die Hammertypen unter uns. Die, die dieses Land groß machen.

Wir gucken uns die weiteren Seiten der Testbeschreibung aber trotzdem an. Nur so zum Spaß.

Der Punkt 4 stellt dann die Testperson vor. Dr. Frank Schorr, promovierter Physiker und Patentanwalt. Mit 18 Jahren Berufserfahrung. Ich weiß, dass wir in einer Gesellschaft leben, in der man gerne mit Titeln um sich haut. (Ich bin übrigens zertifizierter Hacker und habe mich für 10 Dollar in den USA zum Reverend weihen lassen. War ne Schnapsidee, ich weiß. Aber Reverend Kowalski klang in dem Moment amüsant.) Aber ich bin da ehrlich: Ich habe in den letzten 3 Jahren so viele Doktortitel gehen sehen, dass mich nur praktische Arbeit von der Kompetenz und Qualifikation von Leuten überzeugt. Aber wie es im Test von Diehl und Partner steht, ist Herr Dr. Schorr mit den Technologien der Informationsverarbeitung und Informationsübertragung über das Internet in einem Maß vertraut, welches über das für die vorliegende Untersuchung notwendige Maß weit hinausgeht. Also ein Physiker für den das Internet kein Neuland ist! Bei dem Lebenslauf sollte die Qualifikation so groß sein, dass wirklich ein Gutachten dabei herauskäme. Mit dieser Formulierung hat man dem Mann keinen Gefallen getan, außer man mag ihn nicht.

Wenn ein so wichtiger Test anfällt, dann ist es jedoch das Mindeste, das zwei Personen dabei sind. Theoretisch hätte itGuards (oder wer auch immer) ihm ja Geld zahlen können, damit er nicht so genau hinguckt? Nur eine Person ist eine Schwäche und macht alles angreifbar!

Punkt 5 widmet sich dem Testszenario. Das ist insoweit wichtig, weil jeder von uns das anhand dieses Szenarios nachspielen können muss. Das wird unter anderem auch in der IT-Forensik angewendet. Wenn vor Gericht ein IT-Forensik-Protokoll vorgelegt wird, dann muss der Ablauf der forensischen Untersuchung so protokolliert werden, dass eine andere Partei das Protokoll 1 zu 1 nachspielen kann und zum selben Ergebnis kommt. Inklusive aller Fehler! Gucken wir uns das Szenario mal an:

Unter 5.1 heißt es, dass die Software GLADII ein Webinterface besitzt, zu dem der Tester einen Zugang erhalten hat. Übersetzen wir die zwei Möglichkeiten:

a) Der Tester hat sich auf einer Webseite, die irgendwo im Internet auf einem Server irgendwo auf der Welt abgelegt wurde, eingeloggt. (Siehe SITIRI-Test.)

b) Der Tester hat einen Test-PC zur Verfügung gestellt bekommen, mit einem lokal laufenden Server und hat sich auf ein lokal laufendes Webinterface eingeloggt. Im Grunde das Gleiche wie unter a), nur, dass der Server mit GLADII in der Kanzlei stand. (Ich könnte das Javascript aus dem SITIRI-Test auch von einer lokalen Installation zu Hause abrufen lassen. Ist vollkommen Wurst. Deshalb ist es hier egal, ob ein lokaler Zugriff oder ein Zugriff von irgendwo übers Internet stattgefunden hat.)

Vielleicht interessiert Dich noch:   Suche dringend ...

Mehr geht nicht.

Der Punkt 5.2 geht auf die Testdateien ein. Der Tester schreibt, dass die drei Testvideos auf drtuber.com, tnaflix.com und xvideos.com liegen. Die Beispielvideos wurden von itGuards ausgewählt. Bei einem ordentlichen Test hätte ICH mir eigene Videos ausgesucht. Anschließend wird kurz beschrieben: Video auf Videohoster – Klick des Nutzers auf Video – Video wird im Browser abgespielt. Lassen wir es so stehen.

Im Punkt 6 wird der Test und noch einige Details dargestellt.

Im Punkt 6.1 schreibt der Tester, dass der Testcomputer mit der Uhrzeit der Physikalisch-Technischen-Bundesanstalt abgeglichen wurde. Das klingt jetzt voll professionell. Sie stimmte angeblich auf die Sekunde überein. Bleibt die Frage: Wie wurde sie abgeglichen? Hat der Tester auf seine Uhr geguckt und dann auf eine Zeitanzeige bei der Bundesanstalt? Oder wurde einfach einer der Zeitserver (ptbtime1.ptb.de oder ptbtime2.ptb.de oder ptbtime3.ptb.de) genommen, als Zeitserver in die Konfiguration des Systems übernommen und dann technisch die Zeit abgeglichen? Die Darstellung hier ist ziemlich mangelhaft. Und Zeitstempel spielen gerade im Online- und IT-Bereich eine enorme Bedeutung. In der eidesstattlichen Erklärung klang das auch noch anders.
Aber die Beschreibung des PCs in der Testumgebung hat noch weitere Schwächen. War der PC eine saubere frische Installation? Wurden die Links händisch in den Browser eingegeben oder auf Links geklickt. Die Links hätten manipuliert sein können mit einer Vertipperdomain.

Im Punkt 6.2 geht der Tester weiter auf die Testumgebung in der Kanzlei ein. Der Computer hatte am 11.Dezember 2012 die IP 88.217.64.18 und am 21.Dezember 2012 die IP 188.174.215.10. Der war also nicht in einem Netzwerk, sondern direkt angeschlossen am Internet. Der hatte also direkt die Internet-IP vom Provider auf seiner Netzwerkkarte. (?) Das ist dann schonmal spannend. Ich habe einen Router und einen Firewall vor meinem Ausgang ins WWW. Die meisten Telekomnutzer haben nur Ihren Router zwischen Computer und WWW. Und der Router hat in der Regel die IP fürs WWW. Ist wichtig, weil, wenn die Jungs einen Router hatten, hätte theoretisch ein anderer Rechner im Netzwerk einen Man-in-the-Middle-Angriff ausführen können und die Ergebnisse des Testes manipulieren oder herbeiführen können. Das wäre dann ein Hinweis, dass die Abmahnopfer Angriff eines Hackerangriffes geworden sind, wenn GLADII ohne so einen Man-in-the-Middle-Angriff nicht auskommt, alternativ der Test (wenn er denn voll fehlerfrei wäre) für die Katz war, weil manipulationsanfällig. Keine saubere Testumgebung. Absolut schlecht.

Hier hatte der Rechner eben nur die IP aus dem Internet. Spannend. Ist auch eine Frage der Beweisführung. Es ist anhand des Protokolls nicht auszuschließen, dass der durchgeführte Test fehlerhaft war, weil das mit der IP nicht glaubwürdig ist.
Die IPs sollen aus dem Range der Firma M-net Telekommunikations GmbH stammen. Diese Angabe ist insoweit wichtig, weil beim Testdownload die IP ja gespeichert wird, inklusive Zeitstempel. Zur Info: Die IP-Ranges werden fest gekauft/gemietet von den Internetprovidern. Die genannten IPs kommen tatsächlich von M-net. Das könnt Ihr hier testen: http://www.find-ip-address.org.

Im Punkt 6.3 wird festgehalten, dass sie am 11.Dezember 2012 Firefox genutzt haben (Version 16.0.2) und am 21.Dezember 2012 den Browser Chrome (Version 23.0.1271.97).
Die Browserversion von Chrome war zu den genannten Tagen aktuell. Firefox nicht ganz. Wenigstens ein paar Details.

Im Punkt 6.4 hat der Tester jetzt den Download der Mediendateien mit weiteren Unterpunkten beschrieben. Wobei wir hier einen Konflikt sehen: Download oder Streaming? Es wird immer von Download gesprochen. Es wird von vornherein davon ausgegangen, dass Streaming mit Download gleichzusetzen ist. Ob Diehl und Urmann sich kennen?

Unter Punkt 6.4.1 beschreibt der Autor, dass der Beginn des Besuches und das Verlassen der Medienhosterseiten zeitlich dokumentiert wurde (Blatt Papier? Automatisch?).

Unter Punkt 6.4.2 wird beschrieben, dass der Tester auf einige Vorschaubilder klickte und die Videos, die als Testvideos ausgesucht wurden, dann im Browser durch den integrierten Videoplayer dargestellt wurden. Ebenso, dass das Abspielen der Videos mehrmals unterbrochen und fortgesetzt wurde. Das wurde dann zeitlich auch (irgendwie) dokumentiert. Was hier auffällt, ist, dass der Tester vergessen (?) hat zu schreiben wo er die Videos angeklickt hat. Aus GLADII heraus? Von jedem Hoster direkt? Einem Link gefolgt? Händisch die Adresse getippt? Lückenhafter geht es kaum. Entweder es ist schlecht, oder Absicht.

Das war es damit auch schon und unter Punkt 7 kommen wir zur Auswertungsarbeit der Software GLADII.

Im Punkt 7 gibt es dann mehrere Unterpunkte, die dokumentieren sollen, dass alle unter Punkt 6 gemachten Schritte exakt protokolliert wurden und wie die GLADII-Oberfläche aufgebaut ist. Unter anderem steht in dem Protokoll, dass GLADII in seiner Weboberfläche eine Liste der überwachten Medienhoster zeigt. Kein Wort von überwachten Filmen. Grundsätzlich muss in GLADII aber das überwachte Ziel registriert sein (später wichtig). Irgendwie. Könnte auch eine simple Linkliste sein. :c)

Es gibt bei den Zeitpunkten eine Kleinigkeit, die aber auffällt. Der Punkt 1 und der Punkt 2 fallen auf die gleiche Sekunde. Also Webseite aufrufen und Mediendatei starten, fallen beide auf 21:15:27 Uhr. Wer einfach mal eine Webseite aufruft und irgendwie auf einen Link klickt, könnte Schwierigkeiten haben, dass so schnell hinzubekommen. Vor allem auf Pornoseiten, auf denen Massen an Vorschaubildern angezeigt werden, dauert der Ladevorgang ein bisschen. Diese Darstellung im Ablauf halte ich deshalb für fehleranfällig. Außerdem wird im Testprotokoll das root-Verzeichnis als erstes Aufrufziel angegeben. Wovon? Von den Webseiten? Von GLADII? Wurden die Seiten jetzt aus GLADII heraus geöffnet? Wenn es die reine Startseite eines der genannten Pornoportale sein soll, dann muss ja rein zu fällig genau das ausgewählte Video auf der Startseite gewesen sein. Besucht doch mal die Pornoseiten. Heute ganz ohne Furcht! Schickt mir Eure Eindrücke,ob Ihr in der Sekunde des Seitenaufrufs gleich ein Video starten könnt. Wo immer der Physiker war. Er war wohl eher nicht auf den genannten Pornoseiten. :c)

Vielleicht interessiert Dich noch:   Nix los

Zurück zum Ablauf: Hier drängt sich ein anderer Verdacht auf: Es wurde eine Vorschauseite aufgerufen mit Vorschaubildern, die vielleicht zu dem Medienhostern verlinkt waren und deren Bezeichnung auf die drei ausgewählten Testvideos deutet. Mit dem Klick auf ein Vorschaubild wird die Videohosterseite aufgerufen und ohne Zutun des Nutzers das Video sofort abgespielt. Das kann dann durchaus innerhalb einer Sekunde automatisiert ablaufen. Das kann aber nur funktionieren, wenn dem Nutzer / Tester eine vorbereitete eigene Seite angeboten wird. Also eine eigene Videoseite (Videovorschauseite) veröffentlicht wurde. Später dazu mehr.

Ab Punkt 7.5 Unterpunkte 1 bis 4 geht der Tester dann auf die spektakulären Protokolle der GLADII-Software ein. Das Webscript GLADII hat also einfach alles mitgeloggt. Wo ist der Haken?

Der Haken ist genau dort, wo wir ihn bereits von Anfang an gesehen haben. GLADII hätte nur mitloggen können, wenn die Software direkt bei den Medienhostern Daten abgreift, also bei xvideo und drtuber etc. liegt, oder über eine eigene Phishingseite, wo direkt zu den Videos per Vorschaubild verlinkt wurde. Durch das Speichern von Starts und Stopps beim Videostream verstärkt sich diese Vermutung, da auch der Player unter der Kontrolle von GLADII hätte stehen müssen (als bspw. JAVA-Version mit Datenbank oder Logfilemöglichkeit). Das wäre jedoch nur auf einer Phishingseite möglich.

Der Unterpunkt 5 von 7.5 ist dann auch interessant. Der Tester sah keine Anhaltspunkte für Gesetzesverstöße, weil alles auf übliche Internet-Technologien beruht. Das ist schnucklig. Wenn ich mich irgendwo reinhacken würde, nutze ich auch übliche Internettechnologie. Wenn Hacking aus diesem Gesichtspunkt immer legal ist, dann fülle ich mir jetzt mein Bankkonto mit Hilfe üblicher Internettechnologien. Schwache Aussage des Testers. Ich bezweifle, dass der Mann weiß, was man mit normaler Internettechnologie alles machen kann. Desweiteren hat er nur die Funktionsfähigkeit auf irgendwas getestet, weder Quellcode noch Trafficanalyse gemacht. Er hat nur das gesehen, was er sehen sollte/wollte. Schwache Leistung, wenn er es ehrlich meinte und nichts hinterfragt hat. Die normale Internettechnologie war sein Browser. GLADII hat er NIE angeguckt, sondern nur mal reingeklickt. Das ist einfach nur lächerlich.

Der letzte Punkt im Testprotokoll soll die ganze Sache nochmal bewerten. Der Tester stellt fest, dass GLADII die Downloads registriert hat. Das zweifel ich auch nicht an. Siehe SITIRI-Test.

Dann schreibt der Autor, dass die Software GLADII die Besuchszeit bei den Medienhostern korrekt berechnet hat. Hier liegt der Fokus auf „berechnet“ ! Also kein Realzeitlogging, sondern Berechnung. Das geht wie oben bereits gesagt auch nur auf zwei Wegen: Einmal voller Zugriff auf die Logs oder die Server der Medienhoster, was wir wie bei Redtube ausschließen können. Zum Zweiten mit einer eigenen Phishingseite oder Vorschaubilderlinkseite (Was für ein Wort.), wo sie alles mitloggen und einen eigenen Player anbieten, der die Videos vom Originalhsoster runterlädt und zusätzliche Logs ermöglicht. Wenn die Pornoseiten API-Schnittstellen anbieten, ist das machbar. Je nachdem was für APIs. Viele APIs können kostenlos genutzt werden. Wenn ich also die Abspieldauer nehme, habe ich eine gewisse Zeit, die ein Zugriff auf die Medienhoster durchgeführt wurde. Entweder vom Player oder Nutzer. Wie immer sie es aufgebaut haben. Das berechnen sie dann scheinbar: Null Sekunden Video + 30 Sekunden Video = 30 Sekunden Video. Die Beschreibung ist wieder lückenhaft.

Dann schreibt der Autor, dass itGuards nicht hätte wissen können, was der Tester tut und deshalb GLADII alle Messungen (?) in Echtzeit durchgeführt hat. Naja, itGuards kannte die Filme. Mit eigener Phishingseite und normalen Logs wie beim SITIRI-Test, ist das alles nicht schwer zusammenzusetzen, wenn man einen fähigken Programmierer hat, ist das auch noch schön zusammenhängend grafisch darstellbar. Wenn der Tester nur vorbereitete Funktionen durchklicken sollte, dann hat er das getan. Begutachtet hat er gar nichts.

Abschließend bewertet der Autor des Testes, dass GLADII die gesteckten Ziele erreicht hat. Unterschrieben wurde es am 22.03.2013. Hat vier Monate gedauert das aufzuschreiben. Alter Schwede. Kein Wunder, dass der Test soviele Lücken hat. Wurde wohl kein Protokoll geschrieben, als der Test selbst durchgeführt wurde? Einfach nur lächerlich. Und traurig, dass das bei Gericht so größtenteils anerkannt wurde. Warum fragen die nicht ihre Admins?

Also für mich bleibt es dabei und der Verdacht hat sich für mich erhärtet, dass THE ARCHIVE AG / itGuards mit Hilfe einer zwischengeschalteten Seite und einer entsprechenden Loggingfunktion die IP-Adressen abgephisht haben. Da man, wie bei diesem Testprotokoll ersichtlich, die Zielfilme bei GLADII registrieren muss, um sie auswerten zu können, muss man auch den Weg zu den Zielfilmen auf den Videohostern bereitstellen und kennen. Ob das Abphishen mit Vertipperdomains, Subdomains, PopUps oder Werbung geschehen ist, ist vollkommen egal. Nur durch das selbst zur Verfügung stellen von Links bspw. über Vorschaubilder auf einer Phishingseite hätten sie die Daten abgreifen können. Aber natürlich hätten sie so die Abmahnopfer selbst zum Ziel geleitet. Damit wäre das Abphishen der IP-Adressen illegal und ein Betrugsfall internationalen Ausmaßes würde sich bestätigen.

Und wenn sie die Filme nicht selbst bereitgestellt haben, haben sie nichts unternommen die Veröffentlichung zu unterbinden und die IP-Adressen trotzdem mit einer der oben beschriebenen Methode abgephisht, weil sie anders nicht an die IP-Adressen gekommen wären.

 

 

Einen korrigierten Fehler hier behandelt.