Polismyndigheten i Stockholms län Länskriminalpolisen Utredningsroteln Strategiska sektionen IT-forensiska gruppen Datum 2007-02-18 Diarienummer TNR /7-07 902 Undersökningsprotokoll av datorer märkta TRACKER-WWW1 till TRACKER-WWW5 Utredningsman Krinsp Jim Keyzer och John Stéenmark Handläggare på IT-forensiska gruppen Kriminalinspektör John Stéenmark Brottsdatum Brottsadress Beställande enhet LU/S Medundersökare Telefon till utredningsman Ärendetyp Upphovsrättsbrott Inkom till IT-forensiska gruppen 2006-05-31 Undersökningsadress Kungsholmsgatan 37 Undersökningstyp Undersökningen påbörjad datum 2006-05-31 Analys av IT-media Klockan Grunden I samband med utredningen K101917-06 gjordes en husrannsakan på Palmfeldtsvägen 5 i Stockholm. Ett antal datorer togs där i beslag. Frågeställning har uppstått om nedan nämnda datorer kan ha haft samma uppgift i The Pirate Bay s konfiguration. Sammanfattande resultat Det är sannolikt att de analyserade datorerna har haft samma funktion i The Pirate Bay s konfiguration. Samtliga har haft webbservern Apache installerad och haft identiska php filer med referensmaskinen. Samtliga har varit konfigurerade med IPadresser/nätmasker och datornamn som möjliggjort kommunikation med datorn med beslagsnummer 0240-06-587 punkt 1- vilken innehöll MySql databasen och vars funktion är central i The Pirate Bay. Denna dator var konfigurerad med IP adressen 192.168.0.12 och nätmask 255.255.255.0. I denna dators hosts fil var samtliga analyserade datorers nedan nämnda IP adresser kopplade till datornamn. Varför ett flertal datorer sannolikt använts för samma uppgift beror förmodligen på att det är ett sätt lastbalansera trafiken (flera datorer delar på samma uppgift). Sid 1
Förklaringar 903 Apache kan beskrivas som en programvara som hanterar själva webbsidan och dess innehåll gentemot de datorer som önskar koppla upp sig utifrån. Php är ett skriptspråk som finns i filer som bygger upp det innehåll som syns i webbläsaren då siten The Pirate Bay besöks. Hosts filen används av den dator som vill kontakta en annan dator i ett nätverk. I filen står datornamnet kopplat till IP adress som behövs för att kommunicera. Detta gör att den kontaktande datorn inte behöver använda sig av en s.k. dns server om kommunikationen initieras med datornamn utan kommunikationen datorerna i mellan kan ske snabbt i det lokala nätverket. IPadress och nätmask används för att identifiera och möjliggöra kommunikation mellan datorer i ett nätverk. Arbetsbeskrivning Datorernas interna hårddiskar monterades ur de beslagtagna datorerna och placerades i en analysmiljö. Hårddiskarnas hela innehåll har därefter kopierats till en annan, tom, hårddisk. Genom detta förfaringssätt säkerställs att ingen information förvanskas, läggs till eller tas bort från den ursprungliga hårddisken. All undersökning har skett från den innehållsmässigt identiska arbetskopian. Innehållet har analyserats med hjälp av ett analysprogram vilket möjliggör åtkomst till raderat utrymme. Programmet ger vidare tillgång till utrymme på lagringsmediet som den normale användaren vanligtvis inte kan komma åt. Analys På de bilder och filmer, som finns tagna av personal som befann sig på plats på Palmfeldtsvägen 5, går det att se att samtliga datorer satt monterade tillsammans i samma serverrack- B6. De var placerade och märkta i tillsynes logisk ordning och samtliga maskiner föreföll vara igång. På ett kopplings schema som var upprättat går det att se att samtliga maskiner var kopplade via nätverkskabel till en switch. En jämförelse har gjorts mellan de aktuella datorerna och en referensmaskin- datorn märkt TRACKER_WWW1 med beslagsnummer 0240-06-587 punkt 6. Denna dator användes vid den testkörning som gjordes av delar av The Pirate Bay s datorer som sattes upp i ett lokalt nätverk med hjälp av klonade hårddiskar i originaldatorer. Då denna dator vid detta tillfälle agerade webbserver har de filer som ingått i de kataloger som dels utgjort själva innehållet på The Pirate Bay`s hemsida och de filer som ingått i katalogerna för webbservern Apache hash summerats med hjälp av MD5 hash algoritm. Md5 kan förklaras som en matematisk formel som med en mycket stor säkerhet kan påvisa att innehållet i två filer är identiska. Sid 2
904 Beslagspunkt 0240-06-587 punkt 6: dator märkt TRACKER_WWW1 (Referensmaskin) Sökvägen /var/tracker/httpd innehöll 1660 stycken filer. I denna sökväg var webbserver programvaran Apache installerad Sökvägen /var/tracker/www innehöll 151 stycken php filer. Datornamn var www1.thepiratebay.org. IP adressen 192.168.0.5 med nätmask 255.255.255.0 var konfigurerad på datorn. I hostsfilen på datorn med beslagsnummer 0240-06-587 punkt 1- vilken innehöll MySql databasen och vars funktion är central i The Pirate Bay - fanns IPadressen 192.168.0.5 kopplad mot datornamnet www1.thepiratebay.org. Beslagspunkt 0240-06-587 punkt 7: dator märkt TRACKER_WWW2 1344 stycken av dessa filer hade samma hashvärde d.v.s. hade identiskt samma innehåll som referensmaskinen. Datornamn var www2.thepiratebay.org IP adressen 192.168.0.6 med nätmask 255.255.255.0 var konfigurerad på datorn. 192.168.0.6 kopplad mot datornamnet www2.thepiratebay.org. Beslagspunkt 0240-06-587 punkt 8: dator märkt TRACKER_WWW3 1344 stycken av dessa filer hade samma hashvärde d.v.s. hade identiskt samma innehåll som referensmaskinen. Datornamn var www3.thepiratebay.org IP adressen 192.168.0.7 med nätmask 255.255.255.0 var konfigurerad på datorn. 192.168.0.7 kopplad mot datornamnet www3.thepiratebay.org Sid 3
905 Beslagspunkt 0240-06-587 punkt 9: dator märkt TRACKER_WWW4 1344 stycken av dessa filer hade samma hashvärde d.v.s. hade identiskt samma innehåll som referensmaskinen Datornamn var www4.thepiratebay.org IP adressen 192.168.0.8 med nätmask 255.255.255.0 var konfigurerad på datorn. 192.168.0.8 kopplad mot datornamnet www4.thepiratebay.org Beslagspunkt 0240-06-587 punkt 10: dator märkt TRACKER_WWW5 1343 stycken av dessa filer hade samma hashvärde d.v.s. hade identiskt samma innehåll som referensmaskinen Datornamn var www5.thepiratebay.org IP adressen 192.168.0.9 med nätmask 255.255.255.0 var konfigurerad på datorn. 192.168.0.9 kopplad mot datornamnet www5.thepiratebay.org Sid 4
Tekniska specifikationer 906 Systemenhet beslagsnummer 0240-06-587 punkt 6 Operativsystem: Slackware 10.0.0 Acquisition Hash: 01c4c4719a9d3c64ce1ff9e8b7973a4f Verify Hash: 01c4c4719a9d3c64ce1ff9e8b7973a4f Systemenhet beslagsnummer 0240-06-587 punkt 7 Operativsystem: Slackware 10.0.0 Acquisition Hash: 51de11dfa9bb9e2bbe2f9f77f90f9392 Verify Hash: 51de11dfa9bb9e2bbe2f9f77f90f9392 Systemenhet beslagsnummer 0240-06-587 punkt 8 Operativsystem: Slackware 10.1.0 Acquisition Hash: 48254253cf2c8a195847b347a554e58b Verify Hash: 48254253cf2c8a195847b347a554e58b Systemenhet beslagsnummer 0240-06-587 punkt 9 Operativsystem: Slackware 10.2.0 Acquisition Hash: 2c2432f285fad3f54f727105b0cbc70a Verify Hash: 2c2432f285fad3f54f727105b0cbc70a Sid 5
907 Systemenhet beslagsnummer 0240-06-587 punkt 10 Operativsystem: Slackware 10.1.0 Acquisition Hash: fe15dae0f05540a818b8d98a62ad43c8 Verify Hash: fe15dae0f05540a818b8d98a62ad43c8 Gods Materialmärkning Beslagsnr Beskrivning Anteckning /7-07/G001 0240-06-587 punkt 6 HP Proliant Dl 140 Märkt TRACKER_WWW1 /7-07/G002 0240-06-587 punkt 7 HP Proliant Dl 140 Märkt TRACKER _WWW2 /7-07/G003 0240-06-587 punkt 8 HP Proliant Dl 140 Märkt TRACKER _WWW3 /7-07/G004 0240-06-587 punkt 9 HP Proliant Dl 140 Märkt TRACKER _WWW4 /7-07/G005 0240-06-587 punkt 10 HP Proliant Dl 140 Märkt TRACKER _WWW5 Stockholm 2007-03-22 Kriminalinspektör John Stéenmark Sid 6