Svensk Myndighetskontroll: Sammanfattning plus ny komplettering av polisanmälan mot antipiratbyrån.

Detta är mitt 900:e inlägg i den här bloggen och det är bara att konstatera att det har varit en mycket intensiv period av bloggande eftersom inlägg 800 skrevs för mindre än en månad sedan. Tid att fira gives icke, så vidare till något viktigare.

Det här är en redovisning av dels det senaste som ikväll går iväg som komplettering till berörda parter och dels så lägger jag upp hela den dokumentation som rättsväsendet nu har fått tillgång till i kronologisk ordning så att det bara är att läsa materialet uppifrån och ner.

Personligen så anser jag att detta material borde kunna räcka väldigt långt i en process mot Svenska Antipiratbyrån. Jag menar att de fakta som tillkommit sedan anmälan gjordes entydigt pekar på att byrån ska vara på sannolika skäl misstänkt för dataintrång.

Jag menar också att detta första fall entydigt och klart visar att man är beredd att ta till metoder som får justitieministerns försäkringar om återhållsamhet att klinga både falskt och tomt. Vi får helt enkelt räkna med att byrån kommer att sätta dit alla de hinner oavsett mängden fildelat material.

De som fildelar kommer å sin sida att göra allt för att hindra och försvåra detta och i princip innebär detta att vi fr.o.m lagens införande har ett närmast krigsliknande tillstånd mellan lagstiftaren och dennes hantlangare och någon miljon av medborgarna. Detta är naturligtvis inte hållbart i längden och det underminerar fullständigt respekten för lagstiftning överhuvudtaget.

Det finns därför all anledning att utöka vad som tidigare sagts om FRA-lagen till att omfatta även IPRED och det budskapet är: Riv upp! Gör om! Gör rätt!

Här följer då i kronologisk ordning det tidigare materialet och efter det vad som idag har skickats som komplettering.

POLISANMÄLAN

Västerås 090406

Undertecknad anmäler med detta Svenska Antipiratbyrån för dataintrång.

Lagrum

Brottsbalkens 4 kap. 9C §.

Brottstid:

straxt efter midnatt 090401

Brottsplats:

Svenska Antipiratbyrån

S:t Eriksgatan 117A

Box 23021

104 35 Stockholm

Bevisning:

Av Antipiratbyrån/advokat Peter Danowsky inlämnad ansökan om informationsföreläggande till Solna

Tingsrätt 090401, 0402 eller 0403 i vilken det beskrivs hur intrånget skett och vem som är brottsoffer.

Artikel i Svenska Dagbladet 090405 som återfinns här:

http://www.svd.se/opinion/brannpunkt/artikel_2701391.svd

Bakgrund

Strax efter midnatt den 1 april, dagen då IPRED blev lag, genomförde en utredare på Svenska

Antipiratbyrån ett tiotal nedladdningar av filer från en FTP-server. Detta i syfte att säkra bevis för att de filer som fanns på servern var upphovsrättsskyddade.

Bevisningen återfinns i den ansökan om informationsföreläggande som advokat Peter Danowsky lämnat in till Solna tingsrätt. Syftet medansökan är att domstolen enligt IPRED skall tvinga Internetoperatören att lämna ut namnet på abonnenten som innehade den IP-adress som användes av FTP-servern.

Advokat Peter Danowsky hävdar att bevisningen visar stor fildelning till allmänheten. Jag hävdar att bevisningen faktisk visar att ingen fildelning har genomförts samt att bevisningen lika väl kan visa att antipiratbyrån kan ha genomfört ett dataintrång mot en privat FTP-server samt stulit ett tiotal filer.

I Antipiratbyråns ansökan påstås att ”Intrången har inneburit bland annat att verken tillgängliggjorts för allmänheten. Detta har skett i stor skala och via en enda IP-adress. Därmed uppväger skälen för ett informationsföreläggande de eventuella olägenheter eller men som åtgärden skulle innebära.”

Det finns dock inget stöd i den tekniska bevisningen för att detta har skett. Det enda som framgår är att Svenska Antipiratbyrån på något icke redogjort sätt anslutit sig till en FTP-server och därefter laddat ner ett tiotal filer. Enligt uppgifter jag fått är denna FTP-server en privat server som kräver både tillstånd att använda och skyddas med lösenord. Därför är påståendet att ” verken tillgängliggjorts för allmänheten” fullständigt felaktigt. Eftersom ingen fildelning till allmänheten har ägt rum saknas därmed grund för ett informationsföreläggande.

Svenska Antipiratbyrån har i sin iver att få använda sina nyvunna IPRED tvångsmedel återigen använt sig av ”okonventionella” metoder i jakten på fildelare. Men till skillnad från myndigheter som står under demokratisk kontroll och har lagstöd för att använda okonventionella metoder, så har faktiskt upphovsrättsindustrin inte rätt att använda hemliga tvångsmedel. Även om de själva anser att de måste det.

 I deras ansökan framgår att Antipiratbyråns utredare använt sin egen dator för att ansluta sig till FTP-servern. Men om mina uppgifter stämmer är denna server alltså inte tillgänglig för allmänheten, utan kräver konto och lösenord för att obehöriga inte skulle kunna ta sig in i den. På vilket sätt som utredaren har fått tillgång till FTP-servern redovisas inte.

Eller som Henrik Pontén på Antipiratbyrån säger: ”Vi avslöjar aldrig våra metoder” (pcforalla.idg.se).

Ska tingsrätten acceptera bevisning som bygger på hemliga och oredovisade metoder? Enligt min erfarenhet brukar hemliga metoder i dessa sammanhang vara olagliga eller djupt tveksamma metoder.

Åtkomst till en skyddad server kan ske på flera sätt. Det enklaste är att få tillstånd från ägaren av servern. Jag bedömer dock att det är osannolikt att Antipiratbyrån har fått tillstånd av ägaren.

En annan metod är att hacka sig in i servern. Detta bedömer jag också som helt osannolikt med tanke på att IT-kompetensen på Antipiratbyrån är något bristfällig. Det mest sannolika är att Antipiratbyrån har använt sig av en infiltratör för att få tillgång till ett konto på servern, vilket är en av de ”okonventionella” metoder som Antipiratbyrån vanligtvis använder sig av.

Advokat Peter Danowsky hjälpte folkpartiet att utreda dataintrånget hos socialdemokraterna. Det borde därför inte vara helt obekant för honom och därmed upphovsrättsindustrin att det är ett dataintrång att låna någons inloggningsuppgifter till en skyddad server. Även om man har fått inloggningsuppgifter från en ”riktig” användare, som en infiltratör.

” – Vi har anlitat informatörer vid ett flertal tillfällen och gett dem ersättning för deras arbete, säger Henrik Pontén på Antipiratbyrån.” (realtid.se)

Om inte Antipiratbyrån hade tillstånd från serverns ägare så var handlingen olovlig och därmed kan ett dataintrång ha begåtts av antipiratbyrån. Om så är fallet så återfinns en bra skriftlig bevisning av dataintrånget i den ansökan om informationsföreläggande som advokat Peter Danowsky lämnande in till Solna tingsrätt.

Som ovan

Michael Gajditza

Komplettering 1.

ref. mål nr. 2707-09 i Solna Tingsrätt

Komplettering av den polisanmälan (Anmälan om dataintrång 0201-K103944-09 ) som jag tidigare tillställt tingsrätten.

Jag refererar till http://www.nyteknik.se/multimedia/archive/00045/Ljudboksf_rlagens_Ip_45069a.pdf

(Danowsky & Partners Advokatbyrås ansökan om informationsföreläggande, inlämnat till Solna tingsrätt 2009-04-01, i dess pdf-form med tillhörande sidnummer)

Jag vill med detta peka på ett antal underligheter i advokat Danowskys begäran om informationsföreläggande.

Min första invändning

Danowsky skriver:

"Den programvara som visas är klientprogramvaran FlashFXP, med vars hjälp kommunikation har skett med FTP-servern.

Av den första bilden, bilaga 4, framgår i det vänstra fönstret de kataloger som finns skapade på FTP-servern. I motsvarande fönster på höger sida visas den egna datorn."

(ur Danowskys ansökan, pdf-filen, sida 4, tredje stycket)

Det Danowsky hävdar är inte korrekt av följande orsaker.

Det finns två visningslägen i FlashFXP: remote och local. Dessa kan användas i formerna remote/remote; local/local; local/remote; remote/local. Nedan visas local/remote:

"Remote" visar externa FTP-servrar, "local" visar den egna datorn. De båda går att skilja åt enkelt genom att remote har en ikon för att ansluta mot en server (blixt-ikonen), medan local i stället har texten "Local Browser".

Jag grundar mitt påstående på följande bevis:

1. Det "motsvarande fönster", höger sida, som Danowsky hävdar är "den egna datorn" visar i bilaga 4, bild 1 (pdf sida 26) -- tvärtemot vad Danowsky hävdar -- ännu en FTP-server. Vi kan enkelt se att så är fallet med hjälp av blixt-ikonen längst upp i bild.

2. De båda externa FTP-servrarna är dessutom betitlade (längst ner i bild) med "WC" respektive "VMS".

Hade det varit en lokal lista på mappar hade vi där sett en sökväg med en enhetsbeteckning, t.ex.

"F:FlashFXP", som bilden ovan visar.

3. Sökvägen uppe till höger i Danowskys "egna dator" är "/1340/". På en FTP-server är den lägsta nivån i ett mappträd detsamma som tecknet för root: "/". Vi ser Windows Startmeny; Windows aktivitetsfält, lägg därtill att FlashFXP är ett program för Windows, och vi kan även se Windows egna "Egenskaper för Datum och tid", som Danowsky använder för att visa aktuellt datum och tid. Hade höger sida visat "den egna datorn" som uppenbarligen kör Windows, hade vi återigen sett en sökväg med enhetsbeteckning, t.ex. "F:FlashFXP". Detta visar i klartext att Danowsky är inloggad på en extern maskin, där han lagrat ljudboksfilerna i fråga i en mapp betitlad 1340 direkt under root.

Ovidkommande reservation: Danowsky skulle vid en utfrågning kunna hävda att "VMS" är namnet på en FTP-server som körs på hans "egna dator", men för detta finner jag ingen grund. Danowsky har inte bifogat några bevis för att "VMS" är hans egna dator, tvärtom har han valt att helt utelämna information om servern "VMS", vilket jag finner suspekt -- det skulle faktiskt gagna Danowskys bilagor, hans så kallade "bevis", att styrka detta.

Min andra invändning

Danowsky skriver:

"Slutligen framgår av den åttonde bilden, bilaga 11, att nedladdning från den angivna

katalogen SWEDiSH pågick vid det aktuella tillfället avseende ett exempel av verken i bilaga 1

(ur Danowskys ansökan, pdf-filen, sida 4, sista stycket)

Det Danowskys bild visar är att filen skickas till en annan server.

Att han använder just ordet "nedladdning" är högst missvisande. Nedladdning betyder per definition "att ladda ner något till sin egen dator". Det enda som framgår av bilaga 11 (d.v.s. bilden på pdf-filens sista sida) är att en av filerna håller på att överföras till den okända FTP-servern "VMS".

Min tredje invändning

"Intrången har inneburit bl a att verken tillgängliggjorts för allmänheten"

(ur Danowskys ansökan, pdf-filen, sida 5, fjärde stycket)

Bevis saknas för detta påstående.

Danowsky har inte bifogat några bevis för att dessa verk skulle ha tillgängliggjorts för allmänheten.

Jag råkar veta att den här FTP-servern är en del av den så kallade "Scenen". Detta enligt tillförlitliga källor som jag väljer att hålla anonyma, för både deras och min egen säkerhets skull. "Scenen" definieras helt korrekt på Svenska Antipiratbyråns hemsida som "en extremt sluten grupp it-kunniga personer runt om i världen". Denna extremt slutna grupp kan inte ses som allmänheten, hur gärna Danowsky än vill. Jag skulle tvärtom säga att denna extremt slutna grupp är den totala motsatsen till allmänheten.

Det cirkulerar påståenden på diverse bloggar och forum att inloggningsuppgifter till FTP-servern ska ha

publicerats på ett forum, lätt åtkomligt för allmänheten. Jag har väldigt svårt att finna någon tillstymmelse till sanningsgrad i detta påstående, då detta är totalt kontraproduktivt för FTP-serverns användarbas och ägare -- som (återigen) är en "extremt sluten grupp", vilken verkar för att bibehålla denna slutna status.

Min fjärde invändning

I pdf-filen är beskrivet hur Anders Nilsson, på uppdrag av Svenska Antipiratbyrån, använt programmet

"CommView" för att, som han påstår, säkerställa att verken laddats ner från IP-numret i fråga:

"Av denna redogörelse framgår att nedladdningen av respektive verk gjordes från samma IPadress."

(ur Danowskys ansökan, pdf-filen, sida 9, sista stycket)

Bevis saknas för detta påstående.

Det enda hans otaliga skärmdumpar visar är att han överfört en viss mängd data från IP-numret i fråga. Det finns inga referenser som visar att det är en specifik fil eller mapp som överförts, tvärtom skulle man hellre misstänka att det är helt legitim trafik, eftersom han valt att inte bifoga annat än egenhändigt döpta HTMfiler.

Bevis för överföring av de faktiska verken skulle ge en gnutta kredibilitet till det otal skärmdumpar som är bifogade. Då CommView har medel för att se datan som överförs ("Browse captured and decoded packets in real time.", från CommViews hemsida, under "What you can do with CommView") kunde man begära att denna data bifogades, när ändå annan data extraherats ur programmet.

Min femte invändning

Anders Nilsson skriver i sin "PM angående Commview report", att han kontinuerligt synkoniserat tiden med hjälp av GPS. Vanligtvis använder datorer NTP (Network time protocol) för att ställa datorns klocka och inte GPS.

Det finns ingen skärmdump bifogad som visar något användande av detta eller att tiden skulle vara korrekt.

Alla läsare med någon teknisk kompetens jag diskuterat detta med, är helt överens om att vad advokat

Danowsky framfört utgör en mycket stark indiciekedja, till del också styrkt, för att Antipiratbyrån begått ett olagligt dataintrång för att tillskansa sig den mycket tveksamma bevisning som presenterats för tingsrätten.

Den inom detta område respekterade och erkände säkerhetskonsulten, Andre Rickardsson, beskriver i en artikel i SvD hur han ser på kunnandet inom Antipiratbyrån med följande rader:

”.....En annan metod är att hacka sig in i servern. Detta bedömer jag också som helt osannolikt med tanke på att IT-kompetensen på Antipiratbyrån är något bristfällig.”

Advokat Danowsky begär också att ansökan ska handläggas skyndsamt.

Det finns all anledning för rätten att inte ha för bråttom i detta ärende. Dels för att det är i sak fyllt av tveksamheter och dels för att det som blir slutresultatet av detta mål, mycket väl kan komma att fungera som prejudikat för andra mål i framtiden.

Från Brottsbalken (1962:700), 4 kap. 9 c § hämtar jag följande:

"Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år."

2007 införde Sveriges regering ändringen (SFS 2007:213, proposition 2006/07:66) av Brottsbalken 4 kap. 9 c § (se ovan). Denna lag trädde i kraft 1 juni 2007. Till grund för denna ändring låg Justitiedepartementets promemoria (Ds 2005:5) över Angrepp mot informationssystem. Ur propositionen kan man bl.a. uthämta följande:

"Vidare klargörs att dataintrångsbestämmelsen omfattar alla uppgifter som befordras och som är avsedda för databehandling. Dessutom moderniseras bestämmelsen genom att begreppet automatisk databehandling ersätts med automatiserad databehandling."

Att det omfattar alla uppgifter som är avsedda för databehandling innebär att det även omfattar en FTPservers användare, då detta är data sparad på FTP-servern ("apparaten", se nedan).

Ur Justitiedepartementets promemoria (Ds 2005:5) över Angrepp mot informationssystem kan följande definition hämtas:

"Dagens samhälle präglas av att informationsteknik genomsyrar i stort sett alla sektorer. Det innebär samtidigt att samhället är sårbart för olika former av angrepp som riktar sig mot tekniken, såsom olovliga [otillbörliga] intrång i informationssystem samt störningar av sådana system och av uppgifter i systemen. [...] Angreppen kan orsaka betydande kostnader och ekonomiska förluster eller annars få allvarliga konsekvenser. Förtroendet för tekniken, t.ex. elektroniska tjänster som 24-timmarsmyndigheter, kan också skadas. Angreppen utförs ofta av enskilda individer som handlar på eget initiativ. [...] Hur omfattande och allvarlig [dataintrångs]brottsligheten är i Sverige i dag kan inte med säkerhet sägas. Att brottsligheten måste tas på allvar är dock uppenbart."

Ur proposition 2006/07:66 kan vi uthämta definitionen av begreppet "informationssystem":

"en apparat eller en grupp av sammankopplade apparater eller apparater som hör samman med varandra, av vilka genom en eller flera genom ett program utför automatisk behandling av datorbehandlingsbara uppgifter, samt datorbehandlingsbara uppgifter som lagras, behandlas, hämtas eller överförs med hjälp av dessa för att de skall kunna drivas, användas, skyddas eller underhållas."

En FTP-server eller en sammankopplad samling FTP-servrar utför löpande automatisk behandling av nämnda uppgifter, detta för att kunna både drivas, användas, skyddas och underhållas.

Datorbehandlingsbara uppgifter är enligt samma proposition:

"framställning av fakta, information eller begrepp i en form som lämpar sig för behandling i ett informationssystem, inklusive program som lämpar sig för att få ett informationssystem att utföra en viss uppgift."

En vital del i en FTP-server (programmet; mjukvaran) är dess användarbas (datan), denna grundsten behövs för att få FTP-servern att utföra dess grundläggande uppgifter.

Vidare, definitionen av begreppet "orättmätigt" (olovligt) innebär:

"att ett intrång är orättmätigt eller att en störning är orättmätig om handlingen sker utan tillstånd från ägaren"

Med dessa underlag och med vetskap om att Svenska Antipiratbyrån ej hade tillstånd från ägaren av FTP-servern, blir min slutsats att Svenska Antipiratbyrån begick ett allvarligt brott, ett brott för vilket de skulle kunna tilldömas böter eller fängelse i högst två år.

Västerås 090408

Michael Gajditza

Komplettering 2

Västerås 090413

För polisen anges ref. polisanmälan 0201-K103944-09

För Solna tingsrätt anges ref. mål nr. 2707-09

Nedan följer ytterligare en komplettering av den polisanmälan som gjorts mot Svenska Antipiratbyrån.

Kompletteringen består främst av analyser av det material som Antipiratbyrån själva lämnat som bevisning till Solna tingsrätt i ovan refererat mål.

Materialet inleds med en PM i tio olika punkter vilka därefter har kommenterats av olika personer som granskat dessa punkter. Det inledande PM:et är i oredigerat skick. I kommentarerna till har jag genomfört vissa smärre justeringar och även i något fall lagt ihop kommentarer som kompletterat varandra. Allra sist kommer en bilaga särskilt om tidsangivelserna i byråns ansökan om informationsföreläggande.

PM angående begäran om informationsföreläggande

1. FlashFXP-dumparna säger ingenting om vilka IP-nummer som är inblandade. WC och VMS är namn på inlagda "favoriter" och kan peka på vilka IP-nummer som helst.
   
   2. CommView-loggarna säger ingenting om vad det är som överförts. Även om filnamnen stämmer är det bara de 5 sista av de 15 loggarna som har motsvarande mappar med på bild (till höger på sidorna 26-32). Har filerna från de första 10 loggarna, sammanlagt ca 10 GB data, kontrollerats och sedan raderats? Den första loggen var klar 03:28, men filerna är inte kvar när första skärmdumpen tas, 2 timmar senare, 05:37. För musik är 10 GB MP3 ungefär 170 timmar att lyssna igenom (ca 1 MB per minut är vanligt). För tal blir det fler timmar.
   
   3. Leif GW Persons bok det enda verk där storleken står både i skärmdumparna (662 MB) och i loggen (drygt 700 MB). Det skiljer alltså 40 MB, vilket jag inte kan avfärda som varken avrundningsfel eller metatrafik för ftp-sessionen. Igen, 14 av 15 loggar säger att något har överförts, men ingenting om vad. Det finns inte ens skärmdumpar att jämföra de andra loggarna med. I det enda fallet vi kan jämföra med något stämmer inte siffrorna.
   
   4. Hänglåsen nere på statusraden på skärmdumparna innebär att anslutningarna till båda datorerna är krypterade. En krypterad server är sällan avsedd för allmänheten.
   
   5. Ingenting visas av login-processen. En server som tillåter anonyma anslutningar utan lösenord kan säkert anses vara tillgänglig för allmänheten men om så var fallet här hade de säkert påpekat det.
   
   6. Alla ftp-kommandon är (sannolikt avsiktligen) dolda. Det är aktiverat by default i FlashFXP (visas i fält längst ner i fönstret) och information om vilka IP-nummer som är inblandade kan synas där (t.ex. vid PORT).
   
   7. Det finns inget som säger att mapparna på den lokala datorn (höger) innehåller de påstådda verken. Alla står som 0 bytes och kan lika gärna vara tomma mappar.
   
   8. Storlekar finns däremot angivna på alla mappar hos den anklagade. Jag har aldrig stött på det förut (använder för tillfället FlashFXP själv, och där visas storleken inte konsekvent ens för cachade mappar). Någon som känner till en serverprogramvara som skickar med storlekar på mappar vid LIST, eller hur man annars får den informationen tillförlitligt i FlashFXP?
   
   9. Att inställningar för klockan är öppen visar inget annat än hur lätt det är att ändra klockan till vilken tid som helst.
   
   10. På alla utom en skärmdump där Paint är öppet står det "namnlös", att bilden inte har sparats än, på ikonen i aktivitetsfältet. Den avvikande står det "Image 6" på. Om det är inkonsekvens eller manipulation kan bara personen som gjorde det svara på."

Kommentarer till ovanstående

1. Stämmer absolut. Två favoriter. Kan närmast jämföras med bokmärken i en webbläsare där du kan ge dem en egen titel. Denna titel är vad som visas här. Tilläggas kan sägas att FlashFXP kräver att en titel anges (medan en webbläsare ofta använder webbsidans titel om du inte aktivt ändrar den)
   
   2. CommView kan jag inte svara på. Dock stämmer uppskattningen vad gäller längden på ljudfilerna. 1MB per minut är väluppskattat som medel. Även uppgiften om att ljudböcker tar mindre plats (och datan ovan därmed är längre i tid). Någon exakt uppgift kan inte ges men ljudböcker är ofta i mono (då det är en röst inspelad på en mono-mikrofon) till skillnad från vanlig musik som är i stereo. Det innebär är ljudfilerna är markant mindre och närmar sig hälften av storleken för samma längd (dock inte exakt hälften, utan strax ovanför). Till det ska läggas att man ofta använder en lägre kvalitet för ljudböcker då det helt enkelt inte krävs mer.
   
   3. Kan jag inte ge någon bra förklaring på. Däremot ett frö som någon annan kanske skulle kunna fortsätta på: Olika standarder för storleksenheter. En megabyte är exempelvis 1000 kilobyte enligt SI-systemet. Datorer har dock räknat en megabyte som 1024 kilobyte historiskt. Skulle det ena stället kunna vara räknat som 1024 och det andra som 1000?
   Se följande Wikipedialänkar på mebibyte (1024) och megabyte (1000)
   http://en.wikipedia.o...
   http://en.wikipedia.o...
   
   4. Yesbox. Däremot så vill jag inte dra på allt för stora växlar med att säga att en krypterad server inte är till för allmänheten. Visserligen skulle jag vilja påstå att absoluta majoriteten av alla ftp-servrar inte är publika och därav följer att större delen av alla krypterade servrar inte är publika. Flertalet serverprogramvaror idag tillåter anslutning såväl krypterat som okrypterat och det finns publika ftp-servrar där båda typerna av anslutningssätt är aktivt samtidigt beroende på hur anslutar vill göra.
   
   5. Helt korrekt. I anslutningsmomentet så står IP-nummer på server och om användarnamn och lösenord efterfrågas. I klartext. Jag är högst tveksam till att det ens går att välja bort att visa det.
   
   6. Ja. Det krävs att du aktivt stänger av den funktionen.
   
   7. Här vill jag dock inte hålla med författaren ovan. Det _är inte_ en lokal dator som visas i högerdelen av fönstret. Det är en FTP-server. Skärmdumpen visar hur användaren har loggat in på en FTP-server på vänster sida och en (samma eller en annan) på höger sida. Detta ses tydligt t.ex. genom att det är en blixt-ikon i verktygsyraden. Bredvid den sitter ikonen för att koppla ifrån. Du kan inte koppla ifrån din egen dator. Här är en skärmbild där användaren i vänster del visar sin egen dator och där verktygsraden ser helt annorlunda ut: http://www.morenews.r... Dock skulle självklart en (eller båda) FTP-server/-rarna kuna finnas på användarens dator. Angående att det bara visas kataloger ("mappar" i författarens text) så stämmer det. De säger ingenting om innehåll.
   
   8. Du kan skicka med flera paramterar ("verb") med ett LIST-kommando. LIST-kommandot skickas av ftp-klienten för att ftp-servern helt enkelt ska svara med en lista på kataloger och filer. I FlashFXP så kan du själv ställa in vilka paramterar som ska skickas med, sen är det upp till servern att bestämma om den vill förstå de parametrarna eller inte.
   
   9. Korrekt
   
   10. Stämmer förvisso. Dock ska tilläggas att om bilderna manipulerades i Paint så ska den personen ha en eloge för bra arbete. Det är något otroligt svårt att manipulera en bild trovärdigt i det programmet. Snarare skulle t.ex. Adobe Photoshop eller GIMP använts. (Med det inte sagt att man inte skulle kunna öppna bilden i t.ex. Photoshop, spara den, för att sedan öppna den i Paint, och ta en skärmdump.

Kommentar till ovanstående kommentar

1. Helt rätt, det är en ansluten FTP-server i högerdelen. Det framgår inte hur det verkligen ligger till så jag drog till med en kvalificerad gissning.
   
   Trafiken har hanterats av ServUDaemon och inte av FlashFXP (enligt process-infon i CommView-loggen). Det betyder antingen att utredaren körde en egen server eller att bilagorna med loggar är helt irrelevanta. Förmodligen är det det tidigare som gäller, och att det är den servern som är ansluten på högersidan.
   
   Varför han gjorde sig det besväret vet jag inte. Kanske för att dölja riktiga sökvägar i skärmdumparna (där det bara står 1340 nu).
   
   Trots en enkel förklaring (med reservation för att det bara är en gissning) är det en svag punkt i bevisningen - det står en sak i klartext och sen visar bilderna att något helt annat KAN ha hänt. ePhone borde ta alla chanser de kan att påpeka för tingsrätten hur oklar bevisningen är.
   
   3. Om vi säger att FlashFXP räknar om bytes med SI-metoden skulle skillnaden bli ännu större (ca 68 MB istället för 40 MB). I CommView-loggen står storleken i bytes så där är det jag själv som räknat om till megabytes (på gamla sättet med 1024 bytes per kilobyte).
   
   Det är ett så stort fel att antingen har utredaren slarvat rejält, eller så är loggen från något helt annat än överföringen av det verk de påstår att den är. Bakläxa.
   
   10. Håller med och jag tror inte eventuell manipulation skedde i Paint. Klockan mitt på bilderna visar i bästa fall bara vad klockan var när utredaren tryckte på Print Screen. Det finns dock inget som bevisar att de skrevs ut vid samma tidpunkt...
   
   Skärmdumpar saknar i min meningen bevisvärde helt och hållet men vi får väl leka lobbyns lek tills domstolarna också insett det.

Fler kommentarer

”Finns inte så mycket mer att lägga till, det ser ut som fabricerade bevis. För att komma längre, krävs en utredning av APB:s egen utrustning.”

------------------------------------------------------------------------------------------------------------------------

På Rick Falkvinges blogg finns ett antal kommentarer kring detta.

http://rickfalkvinge.se/2009/04/02/7753104102/

------------------------------------------------------------------------------------------------------------------------

”Om punkt 8: Jag dubbelkollade hur det ligger till och det stämmer, som Emil säger, att det är upp till servern om storleken på kataloger visas.

Storleken på kataloger är däremot inget som är inbyggt i filsystem, utan applikationer som vill veta måste själva (rekursivt) räkna storleken på alla filer i katalogen och alla underkataloger. Det är inga problem att göra med en mindre mängd filer, med betoning på 'mindre'. Att räkna de 90 TB som siffrorna på sida 26 påstår finns på servern skulle ta betydande tid. Det är ganska opraktiskt att behöva göra det varje gång någon loggar in på servern.

Notera även att hela Attrib-kolumnen är tom på alla skärmdumpar. Den innehåller vanligtvis info om läs-/skrivrättigheter och serveras även de av servern efter ett LIST-kommando. Jag är tveksam till att personen i fråga skulle konfigurera servern att räkna ut filstorlekarna och samtidigt strunta i attributen (som knappt tar tid alls så länge det inte är väldigt många filer i samma katalog).

Slutsats? Vet inte riktigt. Får en känsla av att något inte riktigt stämmer.”

------------------------------------------------------------------------------------------------------------------------

”In Denmark the antipirates do not show the windows clock to provide evidence of the time of the screenshot, most likely because the courts do not accept this, as it is way too easy to manipulate.

Instead they show an atomic clock (which can still be manipulated, but not as easily). See dias 13 in this presentation: http://www.fsr.dk/412...$File/Torben%20Steffensen.ppt

This is important in the current case, as there will be no case left, if the antipirates cannot show that the evidence was collected after April 1st 00:00.”

Särskilt om tidsangivelse och lokal IP-adress

Nedanstående text bifogas som bilaga till övrigt material. Jag har inte hunnit kontrollera uppgifternas

trovärdighet fullt ut men eftersom de i mina öron låter som att de vore värda att följas upp så överlåter jag detta till mottagaren av detta./MG

”I anmälan kan man läsa att det rör sig om en FTP, detta betyder att denna tjänst inte förmedlas av några söktjänster så som trackers; så frågan är hur APB har kunnat hitta denna privata FTP och hur visste APB vad den innehöll?

För det är ju så att APB måste logga in för att ta reda på detta och redan då har de begått ett brott och detta oavsett om FTP:n i fråga innehåller ljudböcker eller hemliga företagsdokument.

Så frågan är om man kan hitta nåt som tyder på hur de har kunnat logga in på denna server och hur de har kunnat fått reda på inloggningsnamn och lösenord.

Vidare kan man läsa: "Genom att kartlägga den egna kommunikationen med andra datorer på Internet har kunnat utredas att den nu aktuella servern använder sig av IP-adressen 77.53.???.??? .

Kartläggningen framgår av bilaga 3".

Med andra ord kan svaret finnas i bilaga 3 och i den kan vi läsa:

"CommView är en programvara som jag använder på min dator för att spela in nätverkstrafik till/från min egen dator".

CommView är ett program som kallas för paketsniffare och med det programmet kan man kartlägga all trafik på ett nätverk, men CommView kan även användas tillsammans med ett program som heter CommView Remote Agent som gör så att man kan övervaka en enskild dator även om man inte är uppkopplad mot denna dator eller mot samma nätverk (som jag har förstått det).

Men det som jag reagerar på är inte att man använt detta program utan det som står senare:

"För att säkerställa absolut korrekt tidsangivelse har min dator kontinuerligt synkroniserat tiden med GPS".

För GPS använda på bärbara datorer och för att kontinuerligt kunna synkronisera med en GPS så måste man vara utomhus, för man kan ju även synkronisera klockor på Internet och att synkronisera kontinuerligt är totalt onödigt så vida man inte även loggar sin position.

Det är nu det börjar lukta skumt, för den IP-adress som använts av APB vid bevisinsamlingen är inte deras egen IP-adress utan en lokal IP-adress (192.168.150.3).

Om jag nu loggar in på min router så tilldelas jag IP-adress 1