Umleitung von RetDube nach RedTube

[vgwort line=“26″ server=“vg05″ openid=“265da22e1db14856b61aaaa4fff90b55″]

Wie die RetDube Falle funktioniert haben könnte.
Wie die RetDube Falle funktioniert haben könnte.

Über Feiertage ist es mit Nachrichten zu den Massenabmahnungen der Kanzlei Urmann und Collegen ruhiger geworden. Wenig Neues – viel Spekulation über Altes. Nachdem viel über den Kauf von Klicks bei Trafficholder und die Software GLADII 1.1.3 spekuliert wurde, sowie die Frage, ob auf retdube.net eine Seite gefälscht oder auf die Originalseite zugegriffen wurde, kontrovers diskutiert wurde, habe ich mich gefragt, wie aufwändig die Variante mit der einfachen Umleitung wäre und sie teilweise nachgebaut.

(Ich hatte schon geschrieben, dass Miriams Adventures auf mehreren DVD gepresst wurde. Dazu habe ich noch einen kleinen Bonmot am Schuss.)

Fakten

Zuerst möchte ich die gesicherten Fakten zusammenfassen.

Fakt 1: Da wären zuerst die Zugriffe auf die Domäne retdube.net vom 21.07. bis 24.08.2013. Dieser Zeitraum deckt sich mit dem bisher bekannten Überwachungszeitraum. Diese Zugriffe sind der am besten belegte und durch Dritte über SimilarWeb.com nachvollziehbare Fakt. retdube.net (IP: 192.31.186.27) leitet zur Zeit auf redtube.com weiter. Ob und wenn ja, wohin die Domains {nummer}.retdube.net weitergeleitet haben, darüber gibt es bei SimilarWeb leider keine Auskunft. Sechs virtuelle Server haben einen Namen (eine Nummer), die mit der ID der Videos bei RedTube identisch ist. Dies wäre ein ungewöhnlicher Zufall.

Für die ebenfalls in Verdacht stehende Domain movfile.net (IP: 192.31.186.117) schätzt SimilarWeb nur ca. 100 Zugriffe für die Woche 28. Juli. Hier wird ausschließlich der virtuelle Host 49655.movfile.net erfasst.

Fakt 2: Soweit es ausreichend Snap-Shot der Seiten mit den Videos bei archive.org gibt, lässt sich ein ungewöhnlicher Anstieg der Views der abgemahnten Videos bei für einen Zeitraum beobachten, der den Überwachungszeitraum umfasst.

Fakt 3: Es gibt einen Eintrag bei Golem vom 07.12.2013. Der Abgemahnte fand in seinen Logs (welcher Art diese auch immer gewesen sein mögen) folgenden Eintrag:

http://hit.trafficholder.com/transfer.php?http://49655.movfile.net
http://49655.movfile.net/
http://49655.retdube.net/

Einen direkten Zugriff auf http://wwww.redtube.com/49655 hat er offenbar nicht in den Logs gefunden. Was bedeuten kann, dass der Zugriff nicht stattfand oder er wurde nicht gefunden.

Dieser Fakt ist der am schlechtesten belegte und durch Dritte kaum zu prüfen. Leider wird nicht erwähnt, welche Logs ausgewertet wurden und was sie sonst noch hergeben würden. Seltsamerweise finde ich hauptsächlich auf diesen Eintrag beruhende Berichte.

In Udo Vetters Law Block (Kommentar 83 und 208) wird bestätigt, dass es in der Browser Chronik für das Video Glamour Show Girls nur einen Zugriff auf 266403.retdube.net gibt. Hier wird leider nicht bestätigt, dass zuvor Zugriffe auf TrafficHolder und MovFile gab.

Scheinbar surft niemand der Betroffenen über einen eigenen Squid oder sonstigen Proxy. Wer aus Sicherheitserwägungen nur im privaten Modus des Browser auf den Porno-Seiten surft, schaut in diesem Fall natürlich in die Röhre. Der Nachteil des privaten Modus ist, dass im Falle eines Falles keine eigenen Log-Daten existieren.

Mit dieser Weiterleitungskette gibt es nun ein kleines Problem. Während die Kette TrafficHolderMovFileRetDube gemeinhin als Weiterleitung akzeptiert wird, sprechen die von SimilarWeb geschätzten Zugriffe (Fakt 1) dagegen, dass diese Kette immer genutzt wurde. MovFile.net (~100 Zugriffe) und RetDube.net (~100.000 Zugriffe) liegen im gleichen Sub-Netz. Warum wurde nicht zu jedem Aufruf eines virtuellen Host im RetDube.net auch ein Aufruf im MovFile.net registriert? Warum wird nur ein Host (49655) in MovFile.net erfasst?

Es wäre schön, wenn die Kommentare sich nicht nur auf Schnipsel der Information beschränken würden. Zur Zeit kann ich nicht auszuschließen, dass zufällig jemand der auch movfile.net in der Kette der Weiterleitungen hatte, davon berichtet hat. Die Kette könnte in der Regel kürzer gewesen sein. Traffic könnte den Servern bei RetDube.net auch über andere Quellen als TrafficHolder zugeführt worden sein.

Fakt 4: Derzeit leitet movfile.net (302 Moved Temporarily) über www.movfile.net (302 …) und pornup.me (301 Moved Permanently) nach www.pornup.me weiter. Interessant ist dabei der HTTP Code 302, der auf die Art der Weiterleitung hindeutet.

retdube.net leitet (302 Moved Temporarily) derzeit direkt zu www.redtube.com weiter. Alle Weiterleitungen werden durch den Browser interpretiert und abgearbeitet. In der normalen Chronik des Firefox oder Chromium werden diese Zwischenschritte unterdrückt. Nur durch eine Suche werden sie angezeigt.

Warum ist redtube.com nicht in den Chroniken

Kommen wir zu einem scheinbaren Paradoxon. Die Views der Videos bei RedTube, die von der Seite www.redtube.com/{nummer} gezählt werden, haben sich erhöht (Fakt 2), aber offensichtlich sind diese Besucher nicht abgemahnt worden, denn in den Chroniken der Abgemahnten steht nichts von RedTube (Fakt 3). Es fehlt die Weiterleitung von retdube.net nach redtube.com. Demnach müssten die erhöhten Views allein auf die Abrufe durch die Überwachung zurückgeführt werden und die Überwacher haben eine gefälschte Seite bereitgestellt.

Paradox und doch wieder nicht. Es geht aber auch anders. Der Server unter {nummer].retdube.net hat die Aufrufe selbst getätigt und das Ergebnis ausgeliefert. Wie ich in zwei Tagen durch lesen und probieren herausgefunden habe, lässt sich dies beim Apache2-Webserver in wenigen Zeilen erledigen:

<VirtualHost *:80>
ServerName 49655.retdube.tksd
ProxyRequests Off
ProxyPass / http://www.redtube.com/49655/
ProxyPassReverse / http://www.redtube.com/49655/
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
</VirtualHost>

Für T-Online habe ich es auf einem lokalen Server – der als Man in the Middle fungiert – nachgestellt.

T-Online über Proxy retdube.tksd aufgerufen. Beachte die Adressleiste!
T-Online über Proxy retdube.tksd aufgerufen. Beachte die Adressleiste!
Chronik für den T-Online über Proxy retdube.tksd
Chronik für den T-Online über Proxy retdube.tksd

Wie man sieht steht in der Adressleiste nicht T-Online und auch in der Chronik gibt es keinen Hinweis auf T-Online.

Im Access-Log des Man-in-the-Middle-Servers findet sich zu diesem Aufruf folgender Eintrag:

192.168.2.5 – – [01/Jan/2014:20:54:17 +0100] „GET / HTTP/1.1“ 200 45308 „-“ „Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 SUSE/31.0.1650.63“

Die IP-Adresse ist meine lokale Adresse, weil ich den Server im lokalen Netz eingerichtet habe. Bei einem Server im Internet stünde dort meine T-Online Adresse. Der Eintrag zeigt, dass 45.308 Byte ausgeliefert wurden und welchen Client ich angeblich benutzt habe.

Wie es aussieht geht dieses Verfahren grundsätzlich. Es würde die Frage klären, warum sich die Views erhöht haben, obwohl redtube.com nicht in der Chronik erscheint.

Nur leider nicht bei www.redtube.com. Dort wird nicht die RedTube-Seite sondern eine Weiterleitung (301 Moved Permanently) erzeugt und an den Browser zurückgegeben. Ob dies auch während der Überwachung der Fall war, müsste man bei RedTube erfragen. Wie ich den Apache2 dazu bringe, auch diese Weiterleitung zu umgehen oder RedTube über seine Identität zu täuschen, habe ich noch nicht herausgefunden. Wo ein Wille ist, ist sicher auch ein Weg.

Ein Man-in-the-Middle könnte Redtube-Seite mit zusätzlichem Code versehen. In diesmal Fall war es unvermeidlich, dass redtube.com nicht in der Chronik erscheint. Gut, dass Chroniken länger als ein halbes Jahr gespeichert bleiben. Pech hat, wer sie regelmäßig löscht.

Es stand nicht zu erwarten, dass die Opfer bei der Umleitung von TrafficHolder auf eine nicht gewünschte Porno-Seite genauer hinschauen und ahnen, was ihnen vier Monate später in den Postkasten flattert. Bei einem Gutachter liegt die Sache schon anders. Der könnte oder sollte feststellen, dass retdube.net im Browser steht und aufgerufen wurde. Mit einem transparenten Proxy, einem manipulierten DNS-Server und Router lässt sich ein Prüfer sicherlich täuschen, wenn er nicht besonders in die Tiefe des Netzes geht. (Das ginge sogar bei Filesharing.)

Die „Überwachung“ gestaltet sich jetzt recht einfach. GLADII 1.1.3 muss nur im Log des Web-Servers nachschauen, wer über den Proxy RetDube umgeleitet wurde. Von außen sorgt man noch für etwas Traffic, so dass der Prüfer nicht nur den eigenen Download im Log sieht. Fertig ist die Täuschung.

Verfolgen des Abspielens der Videos

Stellen wir die Frage, wie man die Rückgabe einer Weiterleitung (301 Moved Permanently) durch RedTube.com an den Client vermeidet, zurück. Vielleicht hat hier jemand einen guten Tipp parat.

Bei der einfachen Umleitung wird die Original-Seite ausgeliefert. Jeder Klick in die Seite führt direkt zu RedTube nur nicht zum RetDube Proxy. Um dies zu verhindern kann man die Links vor Auslieferung an den Client mit der Direktive ProxyHTMLURLMap von redtube.com auf retdube.net umschreiben. Auch die Adresse des Servers mit den Videos muss so umgeschrieben werden, dass eine Umleitung über den Proxy erfolgt. In diesem Fall kann auch das Laden des Videos und seiner Teile beobachtet werden.

Wenn nicht zusätzlicher Code in die Seite eingeschleust wird, kann während des Abspielens nur ein Pausieren und Springen an noch nicht übertragene Stellen oder der Abbruch des Abspielens beobachtet werden.

Dazu müssen aber die Nachrichten an zwei Server abgefangen werden. Ein Starten oder Pausieren des Videos wird durch den Player nicht an den Server vid.lsw.redtubefiles.com übertragen, der das Video streamt. Dieser wird nur informiert, wenn das Video an einer bisher nicht übertragenen Stelle fortgesetzt werden soll.

Wird das Video pausiert, dann wird an den Server www.redtube.com ein Hinweis durch die Anfrage http://www.redtube.com/handle_player_stats.php?action=pause gesendet. Das abgespielte Video ist dabei im Referrer enthalten. Trotz mehrerer Versuche konnte ich mit Wireshark nur die acation=pause abfangen; eine action=start oder action=continue konnte ich nicht beobachten.

Einem Bediener der Software GLADII 1.1.3, der die Überwachung später in der realen Welt ausführt, werden diese Manipulationen nicht auffallen. Er wird ohne Gewissensbisse eidesstattlich versichern können, dass die Software GLADII 1.1.3 ordnungsgemäß installiert war, er sie regelmäßig geprüft hat, er die Videos laufend von RedTube heruntergeladen und mit dem Originalen verglichen hat. Kurz: Er muss in den Schwindel nicht eingeweiht sein.

Alternative: Werbeeinblendungen

Immer wieder kommt die Alternative von Werbeeinblendungen für die Erfassung der IP-Adressen ins Spiel. Dies würde aber bedeuten, dass bei der Vorführung für das Gutachten unmittelbar Werbung auf die soeben hochgeladenen Videos gebucht wurde. Einfacher scheint mir, die Nummern der Videos in der Software GLADII 1.1.3 einzugeben und im Hintergrund die notwendigen Umleitungen automatisch einrichten zu lassen.

Die Kaskade TrafficHoldermovfile.netretdube.net könnte darin begründet sein, dass man bei TrafficHolder keine Spuren hinterlassen wollte. Auch bei RedTube Werbung auf diese Videos zu schalten, hätte zu direkte Spuren hinterlassen. Wären die Browser-Chroniken nicht so langlebig, gäbe es kaum Spuren der Manipulation.

Fazit

Es gibt einen Weg, die Fakten 1 bis 4 in Einklang zu bringen. Dies sind – wie im Gutachten bestätigt- einfache, gebräuchliche Internet-Techniken. Der Nutzer hätte die Videos nur nicht von RedTube bezogen, sondern vom RetDube Proxy. itGuards Inc. (oder The Archive AG) hätte ihm das Video freiwillig geliefert. In diesem Fall hätte das Opfer wohl nicht gegen das Urheberrecht verstoßen.

Aber: Das es so gehen könnte, bedeutet nicht, dass es so gewesen ist.

Genug für heute.

Nur eine kleine Anmerkung für den Schluss: Laut Auskunft des LG Köln an einen Rechtsanwalt kann GLADII 1.1.3 auch XVideos.com überwachen. Mit dieser Seite wurden insbesondere die Fähigkeiten der Software nachgewiesen. Nun finden sich Miriams Adventures (RedTube 49655) auch auf XVideo.com als My Black Stepdad Kendra Kaine Blonde,,Interracial Squirting Teen Reality Based – 26 min (Nr. 4698073). Hat niemand in der Zeit das Video dort angesehen? Da der Uploader letztmalig vor 245 Tagen tätig war, müsste es zum Überwachungszeitraum online gewesen sein.

6 Kommentare

  1. Hallo,

    ich möchte mich bei dem Verfasser dieser Internetseite für sein überaus informatives Engagement bedanken.

    Es ist nicht hoch genug zu schätzen, dass jemand, auch wenn er selber nicht betroffen ist, sich für die Belange anderer mit seinem Wissen und seiner Erfahrung einsetzt.

    Ich möchte als Empfänger einer derartigen ( ich weiß nicht wie ich es ausdrücken soll ) Abmahnung noch etwas dazu beitragen.

    Ich habe meine Festplatte durchforstet und die gleichen, wie schon erwähnt Weiterleitungen über Retdube gefunden. Auch einige Redtube Eintragungen, aber keine mit der beschriebenen Filmnummer.

    Die Nummern waren 181668 ( Hot Stories ) und 49655 ( Miriam’s adventures ).

    Meine „ Abmahnung „ bezieht sich auf den Filelink ……Redtube.com/181668 mit dem angegebenen Produktnamen “ Miriam’s adventures “ und beim Aufruf diese Links wurde mir die Redtubeseite angezeigt mit der Bezeichnung „ Teen Babysitters #3 not longer avaiable „

    Da ich irgendwo gelesen habe, dass auch woanders diese Zuordnung der Filme zu den Nummern von U+C vertauscht wurden könnte es sein, dass die überhaupt nicht wissen, welcher Film überhaupt gestreamt wurde und einfach nur fifty fifty Zuordnungen haben.

    Die Protagonisten dieser Abzockerkette haben sicherlich nicht viel Gehirnschmalz in die Technik gelegt sondern einfach eine IP- Weiterleitung durchgeführt. Ob diese Filschnipsel gestreamt wurden war egal.

    Herausbekommen wird man das erst durch den Quellcode dieser GladII Sofware, sollte man jemals darauf zurückgreifen können.

    Ich hoffe aber, dass sich dieses trotz der bislang eher traurigen Bilanz des Rechtssytems herausstellt.

    Thomas Arend nochmal Danke für diese hervoragende Recherche.!!

    PS: Traurigerweise berufen sich die Rechtsschutzversicherungen ( “ DAS “ bei mir ) auf den Anfangsverdacht der Urheberrechtsverletzung und lehnen jede Hilfe ab. Es gäbe bestimmt irgendeinen Paragraf, der einen schützt
    vor falschen Beschuldigungen.

    1. Danke für den Kommentar und das Lob.

      Offensichtlich hat RedTube oder der Uploader hier reagiert und einige der Videos entfernt, andere aber jedoch nicht. Der User „maggister“ ist scheinbar gelöscht und es sind nur noch ein paar seiner Videos online. Entweder hat der User sie selbst gelöscht oder RedTube hat ihn und die Videos gelöscht. Leider ist der letzte Snap Shot für 181668 bei archive.org vom 15. Mai 2013.

      Der letzte Snap Shot der Seite redtube.com/maggister ist vom 30. August, der vorletzte vom 24. April.

  2. […] Ein Beitrag zum Thema RedTube Abmahnungen wurde in Artikeln über das verschwinden der Webseiten und die Ablösung eines Vorstandsmitgliedes auf Zeit Online und Golem verlinkt. Die hat zur Folge, dass mein kleiner V-Server im Moment sehr gut ausgelastet ist. […]

Kommentare sind geschlossen.