Klemens von Kowabit hat sich in den letzten Tagen mal durch die dafür vielleicht nicht irrelevanten Domain-Details und Quellcodes gewühlt und nicht ganz Uninteressantes aus dem dabei natürlich entstehendem Daten-Wirrwar gezogen. „Ach, kiek mal eener“, hört man mich beim Lesen dessen denken. Ich habe das technisch nicht detailliert überprüft, vertraue da aber auf Klemens seine Fähigkeiten, der sich folgende Gedanken darüber gemacht hat.

Crosspost-Komplettzitat mit freundlicher Genehmigung von Klemens: Du bist Porno! Alle sind Porno!

Jetzt hat es Pornouser erwischt und, wie immer in Abmahnrunden, auch Unschuldige. Das gehört dazu. Würde ich drauf wetten!

Da hat doch tatsächlich eine Firma aus der Schweiz, einen Anwalt aus Berlin beauftragt Adressen und Nutzer von IP-Adressen herauszubekommen, weil sie angeblich oder bewiesen urheberrechtlich geschützte Videos gestreamt haben. In diesem Fall wird davon ausgegangen, dass Streamen dem normalen Download wie in Tauschbörsen gleichkommt. Eine weitere Anwaltskanzlei hat die Adressaten dann abgemahnt. Alles zu lesen hier, hier, hier, hier und hier und hier. Ein Kölner Gericht hat dem Auskunftersuchen teilweise zugestimmt und das [vielleicht sogar] durch falsche Behauptungen und komplizierte Satzwindungen. Wer das hier liest, hat die oben verlinkten Beiträge und mehr sicher schon gelesen bzw. weiß von dem Fall. Ohne das Thema nochmal zu beschreiben, habe ich mal eine Recherche gemacht. Also das, was das Internet öffentlich hergibt.

[Rechteinhaber] ist eine Firma aus der Schweiz: The Archive AG. Die Firma hat eine Webseite namens the-archive.ch. Gehostet wird die Seite bei dem Anbieter wix.com (keine Anspielungen bitte, auch wenn manche Dinge schon lustig sind). Wix.com ist ein Baukastenanbieter. Dort erhält man eine fertige Webseite und muss nur noch seinen Inhalt reintippen. Die Domain ist korrekt auf die Firma registriert. Leider kann man bei der Schweizer NIC keine genauen Registrierungsdaten bekommen. Aber, was schreckt den Hacker. An der Spitze der Schweizer Firma stehen Deutsche. Was ist das größte Problem von uns Deutschen. Wir prahlen oft wie gut wir sind und was wir alles haben. Also prüfte ich, ob die deutschen Macher auch eine deutsche the-archive.de-Domain registriert haben. Und? Ja! Haben sie! Nichts ist cooler als eine gefüllte Visitenkarte. Die Domain wird weitergeleitet auf die Schweizer Domain und wurde registriert am 28.03.2013. Korrekt auf die Schweizer Firma registriert. Merken wir uns mal das Datum. Die Webseite der Firma ist übrigens für den Normalnutzer völlig überflüssig, nichts sagend und inhaltsleer.

Der Anwalt in Berlin wurde beauftragt eine Menge IP-Adressen per Gericht einem Anschlussinhaber zuzuordnen. Dafür muss er von seinem Klienten, entweder The Archive AG oder die andere Anwaltskanzlei, die IP-Adressen erhalten haben. Doch wo kommen die her? Dem Gericht in Köln wurde wohl mitgeteilt, dass mit Hilfe einer Software namens GladeII 1.1.3 die IP-Adressen herausgefiltert wurden und der Urheberrechtsverstoß ermittelt werden konnte. Ein Anwalt, der von einem Abgemahnten beauftragt wurde, hat bereits das Richtige getan: Die Software sollte geprüft werden! Die Software GladeII 1.1.3 stammt von der Firma itGuards Inc. aus den USA. Ein Angestellter der Firma soll außerdem mit einer eidesstattlichen Erklärung den Vorgang und die Funktionsweise der Software bestätgit haben. Die Firma hat auf Ihrer Webseite eine Adresse angegeben. Aber diese Adresse [scheint] nur ein Postfach bei einem Büroservice [zu sein]. Zusätzlich kannte bisher kein Mensch auf diesem Planeten (bis auf eine Hand voll Anwälte und eine schweizer Firma) diese US-Firma. Was vielleicht daran liegt, dass diese Firma erst am 21.03.2013 (http://www.bizapedia.com/de/ITGUARDS-INC.html) gegründet wurde. Der auftretende Gründungsagent ist die Firma Business Filings Inc. mit der Webseite http://www.bizfilings.com/ . Dort kann jeder mal eben eine nicht weiter nennenswerte Briefkastenfirma gründen. Die Webseite http://www.itguards.net ist genauso nichts sagend wie die Archive-Seite. Und wie es der Zufall will, es ist fast göttliche Fügung, wird die Seite der Firma itGuards auch bei wix.com gehostet. Die Domain wurde übrigends am 14.03.2013 registriert. Leider ist auf der Webseite kein namentlicher Kontakt aufgeführt. Auch bei der registrierten Domain wurde eine Anonymisierungsmöglichkeit genutzt. Das heisst, dass niemand außer dem Hoster den Inhaber der Webseite kennt. [Es scheint] Also: Eine Firma wird gegründet und hat eine Adresse mit einem Postfach, weder auf der Webseite, noch über die registrierte Domain kann ein Ansprechpartner gefunden werden. DAS [wäre] wahrlich eine lupenreine Geschäftsidee. Das schafft Vertrauen!

Ich glaube: Es gibt keine Software namens GladeII 1.1.3! Deshalb wird sie auch nicht geprüft werden können. Ich würde mich, hätte ich eine Abmahnung erhalten, auf alle Fälle auf diese Software stürzen und auf die dahinterstehende Firma.

Der März 2013 war für viele Leute ein arbeitsreicher Monat. Denn es gibt angeblich ein Gutachten zur Software GladeII. Ein Gutachten vom 22.03.2013. Also einen Tag nach Firmengründung der itGuards. Erwähnt wurde das Gutachten im Antrag beim Gericht. Eine Software wie die angebliche Glade-Dingens ist nicht in der Lage die Kommunikation zwischen zufälligen Internetnutzern und einem Streamingportal so zu analysieren, wie es in dem Antrag beschrieben wird, außer sie wäre direkt zwischen beiden Kommunikationspartnern etabliert und würde ähnlich arbeiten wie vielleicht Wireshark. Das wäre dann eine Form des Man-in.the-Middle-Angriffes – das Belauschen der Kommunikation.

Der März hatte es in sich. Da waren einige Leute ziemlich beschäftigt.

Da wir jetzt geklärt haben, dass es wohl keine Software gibt, die IP-Adressen hätte herausfinden können, mindestens die Glaubwürdigkeit der Firma itGuards Inc. völlig im Ar*** ist, müssen die Klagenden erstmal nachweisen, wie sie an die Adressen gekommen sind. Da [gäbe] es aber auch nur eine übersichtliche Anzahl von Möglichkeiten:

1. Die IP-Adressen wurden zufällig ausgewählt.

2. Den Abgemahnten wurde ein Trojaner, ein Virus oder eine andere Malware untergeschoben (per eMail-Spam oder manipulierter Webseite) und dadurch wurden die Pornokonsumenten beim tatsächlichen Pornogucken registriert.

3. Durch Werbebanner vielleicht auch entsprechendem Werbebannercode auf dem Pornoportal selbst, wurden die IP-Adressen der tatsächlichen Konsumenten registriert. Dann haben den Werbenden wohl die Werbeeinnahmen nicht ausgereicht. Ganz nach dem Motto: Verdienen wir Geld mit Werbung auf einem kostenlosen Videoportal mit unserem eigenen Video und verklagen wir dann die Konsumenten unseres Videos. Dolle Sache.

4. Durch manipulierte Links auf Webseiten, in Werbung oder per Spam oder in sozialen Netzwerken, konnten unschuldige Nutzer über umgeleitete Webadressen, oder über in Twitter verbreitete Links auf die Pornoseiten gelockt werden. Die müssen nicht mal den Pornofilm angeguckt haben. Die IP-Adresse wäre registriert. Falle schnappt zu! Es ist auch möglich, dass über manipulierten Code einfach ein übliches iFrame in der Größe eines Pixels zum Pornoportal weitergeleitet hat. Das kriegt man gar nicht mit, wenn so ein Teil geladen wird. Die manipulierten Links werden bspw. auch in Foren diskutiert mit einigen Beispielen. Unter anderem einer ähnlich klingenden Domain namens retdube.net, die natürlich anonym in Panama registriert wurde. Welcher Zufall!

5. Der Pornoanbieter arbeitet mit den Abmahnern zusammen.

Punkte 1 bis 4 können angegriffen werden, weil sie nicht legal sind. Auf alle Fälle eine Strafanzeige wert. Der Punkt 5 wäre dann das Ende des Pornoanbieters. Einerseits durchaus gut, andererseits wäre dann das Schicksal der Abgemahnten in den Händen der Richter und die urteilen in Fällen von Abmahnern nicht immer richtig.

Wenn ich eine Abmahnung erhalten hätte, würde ich wie immer vorgehen:

———————————-

Mein Adresse

Anwaltsadresse

Sehr geehrte Damen und Herren,

NEIN.

Mit der Ihnen gebührenden Hochachtung

Ich

———————————-

Zusätzlich ein Auskunftsersuchen nach dem Bundesdatenschutzgesetz, darüber woher meine Daten ursprünglich in Anwalts Hände kommen. Im Gründe wissen wir es ja, aber so eine Anfrage kostet Zeit, kostet ein bisschen Geld und wird betreffende Anwälte nerven, da sie es beantworten müssen. In der Regel passiert dann nichts mehr. Ist mir mehr als einmal so gegangen. Die Abmahner wollen abkassieren. die gehen noch weniger Risiken ein, als der abgemahnte Nutzer. In diesem Pornofall werden die Leute, die freiwillig zahlen, nur aus Schamgefühl zahlen. Aber vergessen wir nicht, dass 30% des gesamten Internettraffics Pornographie ist. Statistisch gesehen sind 30% auch DEINES Traffics Pornographie.

Das ganze Vorgehen erinnert sehr an die Nigeria-Connection bzw. SCAM. Hier nur als Germany-Connection, betrieben von Anwälten und dubiosen Firmen, aber im rechtlich erlaubtem Rahmen (meist Vermarktungsrechte etc.). Bis sie selbst mal Fehler machen. Könnte in diesem Fall geschehen sein. Abwarten!

Nachtraege:

11.12.2013

Da der Pornoanbieter kostenlosen Inhalt anbietet, wäre eigentlich erstmal eine Abmahnung für diesen fällig. Wenn der Rechtinhaber an irgendwelchen Videos das unterlassen hat, könnte man auch davon ausgehen, dass ihm die Verfolgung der User als Primärziel wichtiger ist. Denn den Pornoanbieter redtube abzumahnen, wäre ein Brief. Aber 10.000de Nutzer, bringt wohl mehr. Das sollten Anwälte klären können.

Hier zwei wirklich gute Beiträge auf palawa und stern.

Auf xbiz – einem Portal nur für die Pornoszene – bestreitet die Firma, die hinter redtube steht, dass sie Nutzerdaten an Dritte weitergibt. Das ist aber falsch. Sie tut es so, wie jede kommerzielle Seite es tut: Über Ihre Werbung an den Werbeanbieter und an Trackingdienste. Dazu zählen bei redtube definitv Addthis und Google-Analytics (Dank an DoNotTrackMe für die Hilfe). Auch das Netzwerk Google+ ist mit eingebaut. Mindestens dort werden Verbindungen zu Dritten hergestellt, wenn man sie nicht am eigenen PC oder am Router blockiert. Zusätzlich bieten sie eine API für Entwickler an. Auch das ist ein Einfallstor für Außenstehende. Wäre interessant wie Addthis funktioniert und ob Kunden die über dieses Netzwerk Werbung vertreiben vielleicht IP-Adressen erhalten. (?)

12.11.2013

Habe ich gestern ganz vergessen:

Die Webseite von itguards und the-archive.ch liegen nicht nur beim selben Hostinganbieter wix.com, nein, die Webseiten wurden scheinbar, natürlich rein zufällig, auch auf dem selben Server abgelegt (216.185.152.151).

Ein paar Screenshots zum Vergleich, auch des Quelltextes, hab ich mir auch noch gemacht.

Und was gibt der Quelltext her? Nun, da wix.com ein Hostingbaukasten ist, wo jeder mal schnell eine Webseite bauen kann, kann man vielleicht auch mehr als eine Webseite bauen. Und zwar als der selbe User. Schauen wir uns die Userkennungen im Quelltext an:

1. the-archive.ch

Im Quelltext gibt es einen Java-Baustein der unter anderem folgende Zeile enthält:

var siteHeader = {"id":"c7558eaf-1f3a-4f3e-b288-2318708c62f6", "userId":"6e689ed3- 8d15-44ff-a8eb-7450a760eb8b"};

2. itguards.net

Die Zeile bei itguards.net, sieht wie folgt aus:

var siteHeader = {"id":"c7558eaf-1f3a-4f3e-b288-2318708c62f6", "userId":"6e689ed3- 8d15-44ff-a8eb-7450a760eb8b"};

Bei wix.com ist es möglich mehrere Webseiten unter einem Konto zu betreiben. Also scheinen itguards.net und the-archive.ch mindestens den selben Webdesigner zu haben. :D (Nachtrag: Oder es ist eben ein Club der sich gegenseitig das Vertrauen ausspricht! Glaubwürdigkeit sieht anders aus! Hier die Frage: Hat der Gutachter der Software absichtlich sein Gutachten so formuliert, oder wusste er eigentlich nicht was er tut?)

Wenn man andere Seiten bei wix.com besucht, wie bspw. diese hier:

http://www.michelleirene.com/ ,

http://www.bernardosalce.com/ ,

und http://www.leramishurova.com/

sind die Daten natürlich anders.

Jetzt wäre es wohl Zeit für eine Anzeige?

Hier noch Screenshots des Quellcodes:

12.11.2013

Ich habe gerade über Twitter diesen Link verfolgt. Ein Anwalt hat Auskunft vom LG Köln erhalten zum Gutachten der ominösen Software. Das was das Landgericht Köln zitiert ist kompletter Unsinn. Ich erlaube mir mal zu zitieren:

Laut Gutachten wurden die hinterlegten Testdateien sodann von dem Gutachter mit verschiedenen Browsern abgerufen und die Uhrzeit protokolliert. Im Anschluss hieran habe der Gutachter über die Software GLADII 1.1.3 eine Übersicht der überwachten Medien-Hoster aufgerufen. Die Software habe dabei eine Reihe von Informationen, unter anderem die IP-Adressen der Besucher der jeweiligen Seite, angeboten. Dabei seien auch die testweise erfolgten Abrufe der oben genannten Dateien angezeigt worden (inklusive zwischenzeitlichem Stoppen und Fortsetzen der Wiedergabe des Videos).

Inklusive Stoppen und Fortsetzen der Wiedergabe des Videos!!!! Alter Schwede! Das Beschriebene geht nicht. Technisch und softwareseitig ist das Beschriebene in dem Szenario NICHT möglich!!! Unglaublich! Haben die im LG Köln keine Administratoren???