Fakes in Tauschbörsen
Allgemein ist ein Fake ist eine Fälschung oder ein Imitat.
In
Tauschbörsen
ist ein Fake eine Datei, die nicht das enthält, was der Dateiname aussagt.
Bei Dateien sind Fakes häufig, denn der Dateiname ist völlig
unabhängig vom Dateiinhalt und die Namensgebung einer Datei hängt neben
dem Inhalt unter Anderem auch ab von der Plattform, dem verwendten Dateisystem,
und dem sozikulturellen Kontext des Namengebers. Hierdurch ist es weitgehend Ansichtssache
und stark vom Kultur- und Sprachraum abhängig, ob ein Dateiname ein Fake ist
oder nicht.
Es gibt aber auch gezielte Fakes, beispielsweise um in Tauschbörsen viele
gefälschten Dateien zu einem Musiker einzustellen und so den Nutzern die
Suche nach solchen Dateien zu Vergrellen.
Ein Beispiel hierfür sind die
Fake-Fluter.
Daneben gibt noch viele andere Motive zum
gezielten Faken, beispielsweise um Tauschbörsen als quasi kostenlosen privaten
Webspace zu mißbrauchen.
Ein Beispiel hierfür ist eine Datei, die
den Namen "Geiles_neues_Album_von_Marily_Manson.rar" trägt, in Wirklichkeit
aber das Urlaubsvideo der Familie Hempels auf Mallorca als DivX-AVI ist.
Im Beispiel wollte Familie Hempels vielleicht einfach nicht, dass jemand
Fremdes das Video sieht, der auf's Geratewohl nach "Urlaubsvideo" sucht. Darum
haben sie Dateinamen und -endung (Präfix u. Suffix) einfach geändert und beisielsweise den
eD2K-Link mit dem falschen Namen an Freunde und Verwandte geschickt und
zusätzlich den echten Dateinamen per Mail - mit dem Hinweis, dass die Datei
erst nach dem Herausnehmen aus dem Share zurück-benannt werden soll.
Ein anderes Beispiel ist das Verbreiten von Adware und Malware:
http://www.pc-professionell.de/news/security/news20080508009.aspx.
Hinzu kommt bei einer Datei auf einem Datenträger, das sie an einer bestimmten Stelle eines Dateisystems liegt,
d. h. in einem bestimmten Verzeichnis liegt, und das auch über diese Stelle gefakt
werden kann, weil Standards wie
FHS
beschreiben welche Systemdateien an welcher Stelle liegen sollten und welche
Dateien wo NICHT liegen sollten.
Zu den Metadaten einer Datei gehören neben dem Namen auch die
Dateigröße, Modifikations-Zeit, Prüfsummen wie CRC32 usw. und die
allermeisten Metadaten kann man frei wählbar einstellen; dafür gibt es
viele Programme wie beispielsweise
CRC Faker, das eine Datei mit vorgegebener Prüfsumme (CRC32), vorgegebenem Namen
und vorgegebener Größe erzeugt und zudem bei zwei Läufen die Datei mit
zwei verschiedenen Inhalten erzeugt.
Hinzu kommt, das die Metadaten meist mehrdeutig sind. Beispielsweise kann die
Dateigröße z. B. durch
Sparse Files
mehrdeutig sein und durch einen
Soft Link
können die Daten an einer ganz anderen Stelle unter einem ganz anderen Namen
stehen.
Und Dateinamen hängen von der Codierung ab, mit der ein Dateisystem
verwendet wird, denn beim Mounten kann man z. B. iocharset=utf8 oder
iocharset=iso-8859-1 als Option angeben und entsprechend erhält man unterschiedliche
Dateinamen.
Hinzu kommt, das man in Tauschbörsen auch modifizierte Tauschbörsenprogramme
verwenden kann, so das man auch die Anzeige/Ausgabe von Daten und Metadaten
faken kann, und über Proxies und offene WLANs kann man die IP-Nummer vom
betreffenden Rechner verschleiern.
Ein konkretes und gut dokumentiertes Beispiel hierfür ist der von der German
Privacy Foundation e. V. betriebene
TOR-Node gpfTOR4, der wie jeder von der GPF betriebene Server von (mindestens)
zwei sich gegenseitig kontrollierenden Administratoren überwacht wird und
der Anfang August 2008 vollständig vom Netz genommen wurde
wegen angeblichen Urheberrechtsverletzungen, die aber nachweislich NICHT auf
dem betreffenden Server stattfinden konnten, unter Anderem weil dort
nachweislich weder das angeblich verwendete BitTorrent noch die
betreffenden Dateien, u. A. "Call of duty 4", vorhanden waren:
https://www.awxcnx.de/blog.htm (+ Suche nach gpfTOR4).
Deshalb ist für einen Beweis von Urheberrechtsverstößen in
Tauschbörsen immer noch die Beschlagnahmung und
forsensische Untersuchung von Festplatten oder anderen Datenträgern
erforderlich.
Alles andere kann nur schwache Indizien liefern und Logdateien mit P2P-Daten
als "Beweismaterial" zu bezeichnen ist daher schlicht übertrieben, weil in
Tausbörsen ALLES leicht gefälscht werden kann und ohne eine
zusätzliche Überprüfung sehr unsicher ist.
Ein Beispiel, das dies anschaulich zeigt, sind die Fälschungen der
Fernsehbilder von der Olympia-Eröffnungsfeier in China 2008, bei der die Fernsehbilder
der Sängerin und des Feuerwerks gefälscht waren: Allein aus der Ferne kann man
die professionell gemachten Fälschungen nicht erkennen und auch nicht
überprüfen.
Erst durch Reporter vor Ort ist der Schwindel aufgeflogen und wurde
beispielsweise von der Tagesschau berichtet:
http://www.tagesschau.de/schlusslicht/olympiaeroeffnung106.html.
Dies zeigt beispielhaft, das nur eine lokale Überprüfung aus der Nähe sichere Daten
liefern kann.
Um zu zeigen wie leicht man bekannte Dateien sowohl in Tauschbörsen als auch
auf lokalen Festplatten vortäuschen
kann, habe ich als relativ einfaches Beispiel ein Skript geschrieben, das ich
logischerweise noscript genannt habe:
noscript
Die damit gefakten Dateien haben den originalen Namen, die originale Größe und
originale CRC-32-Prüfsumme von Dateien, die in Tauschbörsen weit
verbreitet sind und auch bei Abmahnern von Tauschbörsen-Benutzern sehr
beliebt sind.
Listen von weiteren bei Abmahnern von Tauschbörsen-Benutzern sehr
beliebte Dateien findet man auch auf dieser Abmahnliste:
http://www.verein-gegen-den-abmahnwahn.de/wiki/index.php5?title=Abmahnliste_%28Wer_mahnt_-_was_ab%29.
Den Datei-Inhalt und die CRC32 der Originale, die von dem Skript gefakt werden,
habe ich selbst überprüft; die Originale sind keine Fakes! Zudem ist der Titel
halbwegs aussagekräftig. Beispielsweise findet man in
Dateien mit "Teenies" im Namen auch Teenies.
Die Herkunft der Originale in den Tauschbörsen ist unbekannt. Es kann sein,
das die Dateien von den Rechteinhabern selbst in Tauschbörsen eingestellt
wurden, denn es ist nicht ungewöhnlich, das Dateien zur besseren
Vermarktung und auch zum späteren Abmahnen (und Abkassieren) in Tauschbörsen von den
Rechteinhabern eingestellt werden, so das sie in den Tauschbörsen ganz legal
sind und die Rechteinhaber das Gegenteil wieder besseren Wissens behaupten.
In dem Skript noscript wird nur die relativ kurze Prüfsumme CRC32 gefakt, aber
es gibt seit Jahren auch Open-Source-Programme für MD5 und MD4:
http://it.slashdot.org/article.pl?sid=05/11/15/2037232
und auch SHA-0 und SHA-1 sind nicht sicher:
http://slashdot.org/article.pl?sid=04/08/17/0030243&tid=93,
http://www.schneier.com/blog/archives/2005/02/sha1_broken.html.
Zudem kann über einen Hash-Wert eine Datei nicht eindeutig identifziert
werden, was trivial ist: Bei Dateien, die länger sind als der Hash-Wert,
ist die Menge der Ausgabe-Werte kleiner als die Menge der Eingabe-Werte und
folglich kann die Hash-Funktion nicht umkehrbar eindeutig sein.
Der Mythos, das eine Datei mit einem Hash-Wert eindeutig identifiziert werden
kann und gerne von Abmahnern wie Digiprotect behauptet wird (
http://www.digiprotect.org/html/faq.html
)
ist deshalb schlicht falsch!
Man kann nur mit stark kollisionsresistenten kryptologischen
Hash-Funktionen die Wahrscheinlichkeit bis zur an Sicherheit grenzenden
Wahrscheinlichkeit erhöhen, das es keine anderen gleich
großen Datei mit gleichem Hash-Wert und verschiedenem Inhalt gibt.
Hierfür eignen sich generell nur stark kollisionsresistente kryptologische
Hash-Funktionen mit über 160 Bit langen Hash-Werten; beispielsweise
SHA-512 mit 512 Bit = 64 Byte Länge.
Zum Faken auch von Dateien hier eine kleine Auswahl an Programmen:
Fake File Generator
Napster Fake Generator
Usenet Fake Generator.