Neue P2P-Schnüffeltechnik: Müssen Filesharer zittern?

Den Forschern gelang es, bestimmte BitTorrent-Requests zu nutzen, um die Torrent-Inhalte den Endpoints (IP-Adresse und Port) zuzuordnen. Zunächst verwendeten sie den Befehl scrape-all, um bei den Trackern eine Liste aller Inhalte zu bekommen. Dieser Befehl ist für das Funktionieren des BitTorrent-Netzwerks eigentlich nicht notwendig, wird aber von den meisten Trackern unterstützt. Dazu zählt auch Opentracker, das unter anderem von The Pirate Bay eingesetzt wird.

Der Befehl scrape-all hat vor allem Informationswert. Der Request dient dazu, herauszufinden wie viele Teilnehmer eine vollständige Kopie eines Torrent-Inhalts besitzen (Seeds) und wie viele bisher nur einen Teil (Leecher). So können Nutzer besser abschätzen, wie schnell ein bestimmter Inhalt herunterzuladen ist.

Die Wissenschaftler ersparten sich mit diesem Befehl die aufwändige Prozedur, von einem Tracker alle .torrent-Dateien herunterzuladen. Das wäre vermutlich auch schwierig geworden, da davon auszugehen ist, dass die Tracker einen Nutzer blacklisten, der versucht, an sämtliche Torrents zu kommen.

Mit den Befehlen announce started und announce stopped beschafften sie sich die IP-Adressen der Seeds und der Leecher. Normalerweise verwenden Clients diese Befehle, um anzukündigen, dass sie einen bestimmten Torrent-Inhalt bereitstellen beziehungsweise die Bereitstellung beenden.

Der Befehl announce started bewirkt, dass der Client eine Liste mit IP-Adressen von Seeds und Leechern bekommt, die allerdings unvollständig ist. Ferner stellten die Wissenschaftler fest, dass sie von den Trackern auf die Blacklist gesetzt wurden, nachdem sie etwa 100 Mal announce started gesendet hatten.

Sie konnten die schwarze Liste jedoch umgehen, indem sie kurz nach announce started den Befehl announce stopped absetzen. Das erlaubte ihnen für denselben Torrent-Inhalt immer wieder die beiden Befehle zu senden. Sie taten das in einem Intervall von zwei Stunden. So erhielten sie immer wieder andere IP-Adressen von Seeds und Leechern. Da sie die Gesamtzahl der Seeds und Leecher kannten, beendeten sie ihren Exploit, wenn sie 90 Prozent der IP-Adressen in ihrer Datenbank hatten.

Obwohl von der Korrektheit der Daten auszugehen ist, kann die Datenbank nicht als gerichtsfester Beweis eingesetzt werden. Dazu ist es jeweils erforderlich, zumindest einen kleinen Teil einer urheberrechtsgeschützten Datei von einer IP-Adresse herunterzuladen. Zusammen mit dem Hashwert der Datei ist es faktisch unmöglich, dass eine Verwechselung vorliegt. Die Datenbank der Wissenschafler kann daher als eine Liste von 148 Millionen dringend tatverdächtiger Nutzer angesehen werden.