Wat is de verklaring voor het opduiken van twee ip-adressen van muziekrechtenwaakhond Buma/Stemra in een database van torrentverkeer? Buma heeft er zelf één gegeven, om die vervolgens stilletjes weer in te trekken. Webwereld schotelt vijf mogelijke verklaringen voor.

Schuldig

Allereerst de meest voor de hand liggende verklaring. De conclusie dat iemand bij Buma/Stemra heeft gedownload, via peer-to-peer protocol BitTorrent. Op zich niet erg, want downloaden is in Nederland immers legaal. Alleen komt BitTorrent in de praktijk ook neer op uploaden, wat zeker niet legaal is. Tenminste, niet voor auteursrechtelijk beschermd materiaal. Maar wel voor vrije data, zoals bijvoorbeeld het iso-image van een Linux-distributie.

Helaas, de data die door Buma's ip-adressen is 'getorrent' voldoet hier niet aan. Het is wel degelijk auteursrechtelijk beschermd materiaal. Maar wacht even, Buma heeft als rechtenwaakhond zelf recht om binnen bepaalde grenzen en voor bepaalde doelen dergelijk materiaal wel online te delen.

Weer helaas, het gaat hier niet om Buma's territorium van muziek. Het is een aflevering van de Amerikaanse tv-serie Entourage en een exemplaar van de nieuwe game Battlefield 3. Valt te zien in de database van YouHaveDownloaded.com, die volgens de makers lang niet al het torrentverkeer in kaart heeft gebracht. Oh, en beseffen we wel dat een game software is en dus niet onder de thuiskopieheffing valt. Ofwel: daarvan is downloaden al illegaal. Laat staan dan via p2p automatisch weer uploaden.

Buma bevindt zich hoe dan ook in goed gezelschap. Mediareuzen Sony, Universal en Fox zijn eveneens betrapt. IP-adressen van die bedrijven zijn opgedoken in de torrentanalyse. Net zoals het optrekje van de Franse president Sarkozy, die zich al herhaaldelijk duidelijk heeft uitgesproken voor een harde aanpak van downloaders. Frankrijk is ook het land dat een three strikes-beleid heeft geopperd en zelf heeft doorgevoerd.

IP-spoofing

Ten tweede de verklaring die Buma/Stemra zelf, na enig kort nadenken, heeft gegeven. Hackers. Of correcter: crackers. Kwaadwillenden die de ip-adressen van de muziekrechtenwaakhond hebben gespoofed. Zo'n vervalsing dient normaliter om opsporing te voorkomen. Een site, dienst of systeem denkt dan dat verkeer vanaf een bepaald adres komt, terwijl dat dus niet zo is. Handig voor de betere cyberaanval.

Webwereld en andere media hebben afgelopen week uitgebreide navraag gedaan bij diverse technische experts. Die netwerkspecialisten weten te vertellen dat het spoofen van een ip-adres veel minder makkelijk is dan het lijkt. De eventuele daders moeten voor hun vervalsing aan diverse randvoorwaarden voldoen.

Zoals bijvoorbeeld: op hetzelfde netwerksegment (specifiek: subnet) als hun slachtoffer zitten. Of: de internetprovider van het slachtoffer beheren (of simpelweg zijn). Of: op diep niveau kunnen ingrijpen op basale internetverkeerszaken als BGP (border gateway protocol). Wat omleidingsmogelijkheden biedt die normaliter zijn voorbehouden aan internet providers en backbone-telco's, zoals staatsbedrijf China Telecom. De consensus van de door Webwereld geraadpleegde experts is dat ip-spoofing in het geval van Buma's torrentverkeer technisch mogelijk is, maar zeer onwaarschijnlijk.

Complexe zwartmakerij

De tweede verklaring leidt nog naar een derde. Wel ip-spoofing, maar niet door torrentgebruikers die zelf niet opgespoord wilden worden. Naast het feit dat het dus technisch behoorlijk complex blijkt, is er nog een factor die verklaring twee aantast. Bij ip-spoofing verbergt de dader zijn adres wat handig is als je iets verstuurt, zoals pakketten voor een DDoS-aanval (distributed denial of service).

Bij BitTorrent downloadt de gebruiker ook, wat door ip-spoofing in wezen niet zou kunnen. Het bestemmingsadres is immers niet juist. Dáár bevindt zich geen torrentclient die bezig is datapakketjes te uploaden die het al heeft gedownload. Dus downloads komen niet door.

Maar stelt dat down- en uploaden niet het doel was? Wat als het doel niet verbergen is, maar juist aanwijzen. Dus ip-spoofing om de ip-adressen van Buma naar voren te brengen als schijnbaar actief onderdeel van een p2p-netwerk. Zodat het via een site als Youhavedownloaded.com valt te onthullen.

Alleen is het maar de vraag of de hypothetische daders dit sterke staaltje dan kunnen plegen én het stil weten te houden. Hackergroepen als Anonymous en Lulzsec steken hun daden niet onder stoelen of banken, zeker niet als ze ermee kunnen aantonen dat p2p-identificatie en -opsporing via ip-adressen valt te vervalsen. Dusdanig valt te vervalsen dat in Nederland Buma, in de Verenigde Staten de Hollywood-studio's en in Frankrijk de president valt te pwnen.

Buma is gehackt

Over naar de vierde verklaring voor Buma's ip-adressen in het internationale torrentverkeer. Deels terug naar verklaring één, maar met een twist. De identificatie van de ip-adressen kan kloppen als er bij Buma is 'getorrent', wat woordvoerders van de organisatie met klem tegenspreken. Maar wat als Buma het zelf niet weet?

Nee, we bedoelen niet een toevallige medewerker of stagiair die stiekem BitTorrent gebruikt op kantoor. Zo iemand werkt niet bij Buma, of heeft dat na de introductietraning wel afgeleerd. De Buma-woordvoerder heeft Webwereld ook verzekerd dat de twee gespotte ip-adressen van machines zijn "die niet kúnnen downloaden". Wat hij daar dan precies mee bedoelde, kon hij echter niet zeggen.

Misschien bedoelde hij servers, in plaats van peeceetjes waar je een torrentclient op kunt installeren? Op servers valt echter ook van alles te installeren. Als je maar de rechten hebt. Wat de beheerder heeft, maar wat een sluwe aanvaller kan buitmaken. Buma heeft vast goede ict-beveiliging in huis. Maar beter dan die van, zeg, Sony's PlayStation Network? Of dichter bij huis die van certificatenleverancier DigiNotar, website én bedrijf? Of die van telecom- en certificatenbedrijf KPN? Of KPN's dochter GemNet?

YouHaveDownloaded zit fout

Laten we tot slot niet de technische en journalistieke wijsheid vergeten: zoek het bij de bron. Wíe zegt er dat Buma/Stemra gedownload heeft? Nee, dat is eigenlijk niet GeenStijl. Die baseert zich namelijk op YouHaveDownloaded.com. Die plots wereldberoemde website draait een database die is gevuld met gegevens vergaard door een drietal techneuten.

Wie zegt dat hun systeem echt werkt en klopt? Wie zegt dat zij zelf te vertrouwen zijn? Wie kent deze 'grappenmakers'? Webwereld heeft contact met de mannen gelegd en zij verzekeren oprecht en technisch onderlegd te zijn. Ondanks de mededeling op de eigen site dat het om een grap gaat, zijn ze bloedserieus. De achterliggende crawler is namelijk geen grap. Zeggen de makers ervan.

Vervolgens hebben ze nog inhoudelijk technisch gereageerd op deze hele Nederlandse torrent-soap. Ze leggen daarbij hun techniek uit en stellen dat het 99 procent zeker is dat er bij Buma bestanden zijn gedownload. “Ik moet toegeven, er is een kans van 1 procent dat hun ip's zijn gespoofed."

De youhavedownloaders geven ook aan dat het in theorie mogelijk is dat zij hun eigen logbestanden, met daarin dus de ip-bestanden van Buma, hebben vervalst. De enige manier om te bepalen of hun logs echt valide zijn, is een vergelijking met informatie die de de loggers niet kúnnen weten of hebben. Zoals de digitale handtekening die een BitTorrent-client zelf gebruikt voor zijn netwerkverkeer of om zijn down- en uploads te verifiëren. Dat is informatie die alleen bij de torrentgebruiker te halen valt. Wat politie en Justitie kunnen doen door via een inval computers in beslag te nemen.

Vijf verklaringen. Welke wil jij geloven? Of weet je zelf een betere? Zet je sluitende verklaring dan uiteen in de comments.