Bloggscoop: The Pirate Bay och dataintrånget
Håkan Roswall, kammaråklagaren, försvarar ikväll att de beslagtog även kundernas servrar hos hostingföretaget PRQ och han anklagar de misstänkta The Pirate Bay-killarna för dataintrång. Jag kan här som första medium avslöja Roswalls mer konkreta misstanke. Jag har även fått en respons från TPB.
Roswall säger enligt SvD om det massiva kundserverbeslaget: "Vi har hittat material i datorer som inte omedelbart kunde kopplas till The Pirate Bay, så det var fullt befogat att göra det". Tja, spontant låter det som en efterhandskonstruktion. Misstänkte man verkligen att det där materialet fanns på alla de där datorerna, eller var det något man funnit nu efteråt av en slump på ett par av dem?
Sedan kommer själva dataintrångsmisstanken. "Hypotesen är att The Pirate Bay har utnyttjat andras datorer. Är det så att man gjort det här olovligen, och det kommer in en anmälan om dataintrång, då kommer vi naturligtvis att utreda det också". Det var åtminstone tre om i den meningen. Har de utnyttjat andras datorer? Har de i så fall gjort det olovligen? Och kommer dessa i så fall att polisanmäla nu när de möjligen blir upplysta om att de blivit utnyttjade.
Jag har lyckats tala med företrädare för att företag som Roswall tror kan ha blivit utsatt för dataintrång. Själv vet de inget om att detta skulle ha skett men har hört att Roswall säger att det kan vara så. Efter litet grävande har jag kommit fram till att Håkan Roswall tror att The Pirate Bay har kört en Torrenttracker på kundens server. (Jag kommer till den tekniska förklaringen längre ned).
Jag har även fått tag på Den Fjärde Mannen och Anakata från TPB som hävdar att detta är gripet ur luften eller något obegripligt missförstånd och att en polisanmälan mot Håkan Roswall för förtal kan bli aktuell. De förklarar också att det vore fullkomligt befängt att försöka köra en Tracker för The Pirate Bay på en kundserver: "De förstår inte vad det innebär i sammanhanget. Försökte man göra detta finns flera skäl till att kundens server ganska omgående skulle bli obrukbar. Dessutom framgår av de Torrentfiler som sprids på TPB var Trackern körs".
OK, nu måste vi in i detaljer om hur BitTorrent fungerar, större detalj än som framgår av de FAQ:ar som brukar finnas på nätet och som riktar sig till användare. BitTorrent är ett Peer-to-peer-system där filer alltså överförs mellan enskilda datorer. Låt säga att man från TPB vill ladda ned den film som övervakningskamerorna filmade när polisen gick in och beslagtog TPB:s servrar hos Port 80 och som nämnts i medier idag.
Låt oss följa övervakningsfilmen. Vad händer?
1) Jo, den som först har hela filen på sin dator skapar en Torrentfil (en fil som får suffixet .torrent).
Denna Torrentfil är en mycket liten fil som berättar några få saker:
- Namnet på den eller de filer som laddas ned med hjälp av torrentfilen (Policeraid_ThePirateBay_PRQ_from_Aftonfabler.wmv)
- Storleken på den fil som skall laddas ned: (69,2 MiB (72536874 byte) här)
- Checksumma (eller "hash" eller "info hash") som egentligen bara är ett väldigt stort (40-siffrigt) tal som räknas ut genom att utgå från den ursprungliga filens digitala följd av ettor och nollor. Dessutom är talet hexadecimalt, dvs varje "siffra" i talet kan inte bara vara 0-9, utan 16 olika "siffror" (man brukar fylla på med a-f). Så den där checksumman kan alltså se ut på 16 upphöjt till 40 olika vis vilket på vanlig hederlig svenska borde vara drygt 1,46 sjuttiljoner. Så det är väldigt liten risk att någon annan film skulle råka ha samma checksumma som övervakningsfilmen även om det i princip är möjligt. Om man bara ser en checksumma kan man dock inte veta vad ursprunget var. Den säger ingenting om innehållet i filen. I det här fallet ser det 40-siffriga talet ut så här: d39558a40d7627519bcadc3f6fd750bacfbff831
- Adressen eller adresserna till den eller de servrar (s.k. announce-servrar) där en Trackerprogramvara körs. I detta fall säger filen följande adress: http://tpb.tracker.prq.to/announce
2) Skaparen av Torrentfilen dubbelklickar på filen vilket drar igång hans BitTorrentklient (alltså BitTorrentprogrammet på hans egen dator) som då ansluter till den adress där Trackerprogramvaran körs.
3) Trackerprogramvaran lagrar i arbetsminnet den IP-adress som användaren anslöt från och noterar att denne användare har en fil med en viss checksumma på sin dator (och kom ihåg att Trackerprogramvaran inte har någon aning om vad innehållet i denna fil är, allt den får är det där 40-ställiga hexadecimala numret och notera dessutom att informationen bara hålls i arbetsminnet på servern).
4) En annan användare har på något vis fått en kopia av Torrentfilen vi talade om, och dubbelklickar den hos sig. Dennes BitTorrentklient ansluter nu till samma announce-server (eftersom adressen fanns i torrentfilen) och meddelar Trackerprogramvaran att man letar efter en fil som har en viss checksumma (som också fanns i Torrentfilen). Trackern kollar och hittar att någon annan dator med en viss IP-adress har en fil med samma checksumma och skickar över denna IP-adress till den som frågade.
5) Den frågande tar kontakt direkt med datorn på den IP-adressen och börjar ladda ned.
6) När fler och fler ansluter och frågar efter samma checksumma håller Trackern reda på alla dessa IP-adresser. Listan uppdateras kontinuerligt allteftersom folk kommer till och drar sig ur.
7) En vacker sak med BitTorrent är att filerna delas upp i många delar och att man parallellt laddar ned olika delar från olika datorer. Och samtidigt laddar man upp de delar som man redan har fått själv till andra användare. Det är alltså ett effektivt och solidariskt fildelningsprotokoll. "Fildela socialdemokratiskt - använd BitTorrent!", kunde vara en lämplig slogan.
Hur fick de andra användarna kopior av Torrentfilen? Tja, egentligen skulle man kunna maila dem till varandra. Men det är här The Pirate Bay, webbsajten kommer in. Folk skriver själva in information om vilka filer de har och skapar ett enkelt sätt att ladda ned en Torrentfil som man sedan kan använda för att ladda ned en viss fill, t.ex. övervakningsfilmen. Och sedan kan man söka på sajten.
Men hur är det med Trackers som i hemlighet har installerats på ens egna kunders servrar då, som Roswall hävdar? Jag har själv svårt att förstå skälet till att man skulle vilja göra så. För att minska belastning på sina egna servrar? Det verkar ju väldigt osannolikt att man vilja ta upp RAM och CPU hos en ovetande kund snarare än komplettera med fler servrar om man behövde av kapacitetsskäl t.ex. Att köra Trackers har andra risker, t.ex. att man utsätts för DDoS-attacker och annat otyg. Torrentsajter är inte poppis i alla läger. Att bara en URL anges i de TPB-relaterade Torrentfilerna behöver dock i teorin inte innebära att det bara finns en server på den adressen. Man kan ju ha en lastbalanserare som sedan sprider ut trafiken på olika servrar, även kundservrar förmodar jag. Om det skulle funka med Trackers vet jag dock inte. (TPB:s Trackerprogramvara hypercube är för övrigt egentligen en webbserver (http-daemon), som Anakata verkar ha skrivit själv, men den måste innehålla en specifik trackermodul). Men det hela verkar så dumdristigt att man verkligen inte kan tro på Roswalls teori bara sådär. En webbhostingleverantör som kör högst kontroversiella saker på kundservrar?
Nicklas Lundblad har långa och bra funderingar om vad brottet egentligen kan vara här. Hans slutsats är att medhjälp till intrång i upphovsrätt skulle kunna komma ifråga eller Lagen om elektroniska anslagstavlor där man har ansvar för att rensa bort meddelanden som uppenbart gör intrång i upphovsrätt. Notera dock att Nicklas inte verkar fullkomligt påläst om tekniken och inte är glasklar i distinktionen mellan Torrentfil och Tracker. Han talar om att åklagare skulle kunna argumentera för att TPB tillhandahåller "särskilda tekniska hjälpmedel för publicering av länkar, s.k. trackers, till de aktuella verken". Om man med "trackers" menar den information som trackerprogramvaran håller i arbetsminnet skulle jag nog inte säg att man "publicerar" detta. Länkarna (=IP-adresser förmodar jag) till användardatorer som innehåller de där verken kan man endast få genom att ansluta till trackern och uppge en viss checksumma. En fråga med ett svar. "Publicera" låter för mig mer publikt, att man skulle ha en lista med länkar på en sajt. Det har man inte. Däremot har man länkar till Torrentfiler, som man dessutom huserar så att folk kan ladda ned dem. Det är möjligt att Lundblads resonemang skulle bli samma i alla fall men jag tror att processen är något mer komplicerad än han antog och det vore kul att se om han skulle ändra sin analys om man har den mer exakta tekniska bilden klar för sig. [Uppdatering: Nicklas Lundblad har nu gjort en sådan analys]
Det är intressant att notera att åklagaren Håkan Roswalls svar när SvD säger att männen bakom The Pirate Bay "hela tiden hävdat att de inte begått något brott eftersom de lagrat länkar till upphovsrättsskyddat material och inte lagrat det skyddade materialet i sig.":
"- Det är alldeles riktigt, så är det. Det har vi vetat hela tiden. Men det finns någonting som heter medhjälp till brott också, säger Roswall."
Vaaaa?! Husrannsakan utfördes pga följande brottsmisstanke enligt publika dokument: "Brott mot upphovsrättslagen alt. medhjälp". Man kan ju nu undra om Tingsrätten hade godkänt begäran om husrannsakan om rubriceringen bara hade varit medhjälp?
P.S. Förresten lugnar Den Fjärde Mannen i denna podcast användare av The Pirate Bay att de ju inte är dumma. De har vetat att de kunde bli raidade och att det därför inte finns några loggfiler som visar vem som har laddat upp eller ned vad.
P.P.S. Uppdatering finns här, där PRQ ger ny info om Roswalls misstanke.
Tingsrätten behöver väl inte godkänna en husrannsakan i Sverige utan det räcker med beslut av åklagare. Men din poäng är fortfarande extremt relevant.
Dessutom tycks en av de "huvudmisstänkta" ha nekats offentlig försvarare (deras normala juridiska ombud var ju upptagen med att lämna DNA-prov) med hänvisning till att det brott han misstänktes för inte kunde ge fängelse. Hur kan då husrannsakan försvaras?
Posted by: Foobar | 2006-06-06 at 02.19
Hmm, jag fick för mig att jag hört eller läst att Stockholms Tingsrätt beslutat husrannsakan. Eller så har jag bara fått för mig det eftersom det i Bahnhoffallet krävdes Tingsrättsbeslut för att Kronofogden skulle få göra intrångsundersökning. Men nog tycker jag att det borde ha varit rätten som beslutade i ett fall som gäller 50 poliser och tio ställen, annars undrar man om inte Roswall begått tjänstefel. Rättegångsbalken 28 kap. 4 §: 4 § Förordnande om husrannsakan meddelas, utom i fall som avses i tredje stycket, av undersökningsledaren, åklagaren eller rätten. Förordnande om husrannsakan för delgivning skall alltid meddelas av rätten. Kan i annat fall husrannsakan antas bli av stor omfattning eller medföra synnerlig olägenhet för den hos vilken åtgärden företas, bör, om det inte är fara i dröjsmål, åtgärden inte vidtas utan rättens förordnande. (Min fetstil).
Posted by: Oscar Swartz | 2006-06-06 at 02.36
Ja, det här borde Roswall pressas på svar på!
Det låter VÄLDIGT mycket som att man dragit till med "Brott mot upphovsrättslagen" istället för bara "medhjälp" för att få till stånd räden. Man vet nu att det inte var tillåtet och försöker därför med alla medel hitta något i efterhand som kan motivera den.
Det borde vara ganska enkelt för en journalist att ställa en följdfråga:
"Roswall, om ni i förväg visste att det bara kunde röra sig om medhjälp och om ni själva hävdar att en av parterna (Gottfrid någonting) inte har rätt till offentlig försvarare eftersom brottet är för lindrigt, så hade ni väl ingen laglig grund för husrannsakan i första läget? Bara misstanke om "medhjälp" hade väl inte räckt för husrannsakan?"
Posted by: her | 2006-06-06 at 09.49
Det där med grund för husrannsakan får jurister undersöka och kommentera. Jag vet inte. Försökte läsa i brottsbalken och tycker det verkar som om medhjälp i princip kan ge samma straff som huvudbrottet. JO jobbar ju med en samlad undersökning av hela radien mot TPB och jag skulle väl uppmana alla som känner sig manade att göra en JO-anmälan av konstigt agerande från Polis och Åklagare om just den detaljen det finns frågetecken runt så att de undersöker även detta. JO heter ju officiellt "Riksdagens Ombudsmän" och är medborgarnas sätt att övervaka att offentliga myndigheter följer de lagar vi har och inte ägnar sig åt maktmissbruk. De är nästan 40 jurister på JO, så de kan sätta in resurser om det finns stort tryck i en fråga. Det är vi medborgare som avgör "trycket". Gå till JO och läs hur man gör!
Posted by: Oscar Swartz | 2006-06-06 at 10.21
Förresten räknade jag nog fel på antal kombinationer i ett 40-ställigt hexadecimalt tal. 1,46 åttiljoner fick jag det till nu. 1,46 x (10 ^ 48) alltså. Alltså 1,46 miljoner sjuttiljoner. Stor skillnad! Om vi antar att alla jordens människor vore musikkompositörer och alla sex miljarder människorna hade funnits under jordens hela existens (4 miljarder år?), ja då skulle var och en ha varit tvungen att komponera uppåt en biljon låtar i sekunden för att antalet checksummor skulle ha tömts ut nu. Fast en hel del låtar skulle förstås ha hamnat på samma kombination vid det laget.
Posted by: Oscar Swartz | 2006-06-06 at 10.38
de kan inte vara så att de har hittat torrent filer som tillhör avdra siter tex swebits.org deras server rök också med i raiden...
Posted by: x3no | 2006-06-06 at 10.46
"(och kom ihåg att Trackerprogramvaran inte har någon aning om vad innehållet i denna fil är, allt den får är det där 40-ställiga hexadecimala numret och notera dessutom att informationen bara hålls i arbetsminnet på servern)."
Det är här TPB kommer in i bilden genom att ge en beskrivning, dom tillhandahåller en liten snutt beskrivande text tillsammans trackern som då endast är en checksumma och dom bidrar även med en funktion så att man kan söka bland alla trackers och leta upp rätt .torrent samt då även bifoga kommentarer kring .torrent filens innehåll och kvalitet efter nedladdning.
Det är nog detta åklagren kommer att trycka på, medhjälp till brott mot upphovsrättslagen, ingen laddar ju hem flera gigabyte data utan att veta vad den innehåller.
Tror det blir riktigt knivigt, uppsåt finns och dom kan nog styrka medhjälp även.
Posted by: saint | 2006-06-06 at 12.33
Enligt beslagsprotokollet från en av hallarna där husrannsakan gjordes är "Befattningshavare som beslutat åtgärden" "Kå Håkan Roswall" så han verkar inte ha gått via tingsrätten.
Posted by: Foobar | 2006-06-06 at 12.58
Foobar, du verkar ha rätt. jag hade de där beslagprotokollen som ligger ute på Flickr också men hade inte sett den där raden. Snaran dras åt. Runt Roswall?
Posted by: Oscar Swartz | 2006-06-06 at 13.16
Det vore tragiskt om Roswall fick ta de smällar som rätteligen tillhör någon annan, högre uppsatt fotbollsspelare.
Posted by: P-E | 2006-06-06 at 13.27
Du blandar förenklingar med konstigheter.
Vad spelar det till exempel för roll om trackern håller data i RAM eller inte. Självklart gör den, och självklart spelar det ingen roll. Att publicera innebär att man tillhandahåller informationen om någon undrar och det är precis vad trackern ska göra.
Det spelar inte heller någon roll om du räknat fel på antalet kombinationer eftersom en torrentfil inte ser ut sådär. Överlåt eventuella kollisionsattacker till de som designar protokollet.
Posted by: Jonas | 2006-06-06 at 14.19
Jag tror att Roswall vad Roswall har hittat är torrentfiler från asiandvdclub eller swebits.
Posted by: G | 2006-06-06 at 14.53
Jonas, beräkningarna gjorde jag för att det var kul. Det kanske kan finnas detaljfel i min beskrivning av torrentfil på protokollnivå förstås. Men jag tror att en del icke-tekniska läsare blev klokare (precis som jag själv när jag intervjuade en tekniker inför mitt inlägg, du får gärna lägga till i kommentaren vad du tycker är relevanta korrigeringar för allmäna läsare).
I juridiken är det f.ö. inte självklart att en publicering av en sak på en webb där alla kan se den är samma sak som att "publicera" något i RAM och ge iväg infon bara om någon explicit begär den. Och detta är oprövat även om jag väl tror att det blir själva webbsajten med sökfunktioner etc som kommer att prövas i TPB-fallet. Men låt säga att man driver en Torrenttracker helt oberoende, då kan det vara juridiskt relevant att man inte publicerar en massa IP-adresser publikt på en webbsida utan bara "internt" till den som frågar. Ett exempel där jag vet att det hela gör juridisk skillnad (som dock ej handlar om publicering) är exempelvis innehav av barnporr där en lagrad fil på hårddisk räknas som innehav medan bara "tittande" i en webbbrowser inte räknas som innehav (och jag bortser här från problem med cachning på disk). Bodström har en utredning som skall se hur man kan omdefiniera innehav till att inkludera information i RAM.
G, jag gjorde ett nytt inlägg med info om vad som påstås ha hittats.
Posted by: Oscar Swartz | 2006-06-06 at 15.50
Själv tyckte jag bland detaljinformation som inte riktigt stämmer med översiktsbilder rör till det hela. Om någon annan begrep något så var det såklart bra. Några detaljfel är ingen mening med att rätta till, vill man veta är det bara att läsa specen.
Det du skrev om publicering tycker jag däremot borde funderas på. Du skriver nu att juridiken gör skillnad på publicering och att bara ge ut informationen på förfrågan. Den skillnaden finns inte. Även en webserver ger bara ut informationen vid en explicit förfrågan.
Den juridiska skillnad du talar om misstänker jag handlar om "permanent" eller "tillfällig" lagring vilket bara handlar om intentionen bakom handlingen, inte med tekniken. Lagring med syfte att ta bort direkt efter att man presenterat materialet eller lagring med syfte att spara för framtiden. Tyvärr har jag ingen juridisk skolning, så du får ta mig med en nypa salt men det är så jag förstått det.
Posted by: Jonas | 2006-06-06 at 17.56
Skulle man inte kunna jämföra trackern med en DNS? Man skickar en förfrågan innehållande domännamn alt. hash och båda returnerar ett eller flera IP-nummer som svar. Normalt sett så kan man inte få någon av dem att publicera en lista med samtliga IP-nummer, enda vägen in är att man känner till det domännamn eller hash som man vill ha IP-nummret till. Varken trackern eller DNS:en har någon som helst information om det data som publiceras via IP-nummret.
Jag är ingen expert på DNS och det jag vet om bittorrent har jag läst på den här sidan, men vid första anblicken verkar systemen vara ganska lika.
Posted by: Lars | 2006-06-06 at 21.00
jo själva trackern har ingen som helst aning på vad hashvärdet symboliserar. I princip kan man se trackern som en router på applikations nivån i osi modellen, detta eftersom den styr trafiken mellan olika noder.
Om något brott begåtts bör detta beröra webtjänsten man söker i.
Om rätten finner själva trackern olaglig kan man i princip se alla tekniska komponenter hos en ISP olagliga och som hjälpmedel till intrång i upphovsrätten. Detta skulle kunna få absurda konsekvenser.
Posted by: Timmy | 2006-06-06 at 23.33
Vad ni hakar upp er på husransakan.. Att en husransakan är ett MÅSTE är en bild som filmer byggt upp.. En husransakan är inget annat än en garanti att hålla ryggen fri.. Polisen behöver inte ha en husransakningsorder för att gå in och beslagta servrarna, MEN ifall de inte har någon och det visar sig att inget brott har begåtts så är det tjänstefel av beslagtagande polis.. Har det begåtts nått brott däremot så är det INTE tjänstefel att ha beslagtagit dem utan order.. Oetiskt och omoraliskt ja.. men inte tjänstefel..
Posted by: Nightrunner | 2006-06-07 at 02.39
Angående upphovsrättsbrott/medhjälp till upphovsrättsbrott så har Oscar rätt i att det är samma straffskala. Det är inte "bara" medhjälp. Man kan exempelvis döma flera personer för medhjälp till mord och de skulle få livstid utan att någon döms för mord.
Ska sätta mig in vad Nicklas Lundblad och Daniel Westman skriver nu.
Posted by: Fredrik Ivarsson | 2006-06-07 at 10.27
Ang husransakan. Polisen måste ha ett beslut om husransakan för att få gå in i en lokal/byggnad/motsv och säkra bevis och/eller ta grejer i beslag. Det som skiljer Sverige från amerikanska filmer är att det beslutet får tas av åklagare och/eller polisbefäl (minns inte nivå som krävs). Alltså kan åklagare Roswall själv ta beslutet om husransakan, vilket är helt enligt reglerna.
Posted by: Johan | 2006-06-07 at 14.33