Hollywood nás nutí k detektivnímu pátrání

Podle tvrzení MPAA porušil někdo ze zaměstnanců firmy autorská práva. Bezpečnostní manažer po provinilci pátrá. ...


Podle tvrzení MPAA porušil někdo ze zaměstnanců firmy autorská práva.
Bezpečnostní manažer po provinilci pátrá.

Dopis z americké filmové asociace MPAA (Motion Picture Association of America)
přiměl náš tým k pátrání. Podezřelého jsme nakonec dopadli, ale o jeho osudu
rozhodne naše oddělení lidských zdrojů a právní útvar.
Asociace MPAA se rozhodla zatočit s ilegálním stahováním a distribucí filmů
chráněných autorskými právy. A její zrak se upřel i k nám. Zaslala nám dopis
obsahující formulář, v němž bylo uvedeno datum pravděpodobného porušení
autorského zákona, příslušná IP adresa počítače, z něhož to mělo být provedeno,
název podezřelého souboru a předpokládaný způsob přenosu (například BitTorrent
nebo Morpheus). MPAA dostala tyto informace zjevně od třetího subjektu firmy,
která pročesává internet a pátrá po stahování autorsky chráněných filmů.
Tipoval jsem, že soubor s filmem byl nabízen ke stažení odněkud z počítače
uvnitř naší společnosti nebo že bylo odhaleno spojení mezi naší společností a
nějakým serverem pro sdílení souborů, který ona třetí firma monitorovala. V
každém případě byl dopis formulován velmi tvrdě, obsahoval důrazné odvolávky na
federální zákoník i hrozby poku-tou, a dokonce vězením, pokud neučiníme
"smysluplná" opatření k odstranění dat.

Jehla v kupce sena
Ale než můžeme učinit smysluplná opatření, musíme vědět, o který z našich skoro
6 000 interních stolních počítačů jde. Potíž je v tom, že zvenku všechny
vypadají jako jediný stroj s tou IP adresou, kterou MPAA označila. Je to proto,
že používáme IP adresy přidělované prostřednictvím našich DHCP serverů podle
specifikace RFC 1918. Jsou to vnitřní IP adresy rezervované pro interní
zařízení. Když tato vnitřní zařízení komunikují s vnější entitou, jejich IP
adresy se překládají do jediné veřejně adresovatelné IP adresy.
A aby to bylo ještě horší, platnost DHCP adresy vyprší každých 48 hodin. Když
tyto interní IP adresy každé dva dny expirují, bývá většina z nich přiřazena
zase někomu jinému. O přidělení IP adres si sice udržujeme evidenci, ale ne moc
dlouho, protože to na disku zabírá moc místa. A než se dopis z MPAA prodral
poštou a naší podatelnou, přišel na to správné pracoviště pár dní po smazání
záznamů.
IP adresa, kterou MPAA označila, svědčila o tom, že incident se stal v jedné
naší pobočce na východním pobřeží USA. Prvním krokem tedy bylo navázat kontakt
s naším oddělením síťových služeb a informovat se, zda nějaké údaje o využití
sítě vypadají podezřele program pro sdílení souborů se totiž zpravidla nechává
běžet nepřetržitě. Brzy jsme měli první výsledky síťový specialista přišel na
30 uživatelů, kteří překračovali dohodnutý objem přenesených dat 2 GB za den.

Viník
Následně jsme podnikli další kroky v pátrání včetně spuštění utility tcpdump,
abychom zjistili, jaké činnosti byly s každou IP adresou spojeny. Jak se
ukázalo, většina z označených uživatelů byli vývojáři, kteří přenášeli programy
ze svých počítačů na server, určený k jejich ukládání.
Pár uživatelů ale bylo zapleteno do aktivit, které se mohly týkat autorsky
chráněných souborů. Jeden z nich stahoval velké soubory, ale byly to nejspíš
rodinné filmové záběry, protože jejich názvy zněly jako vánočníparty.avi a
podobně. Síťový provoz na počítači dalšího uživatele potvrzoval stahování
nějakého .avi souboru, který se týkal nově uváděného filmu. Ale kdo byl ten
uživatel?
Dalším krokem bylo použití příkazu Nbtstat, který měl přiřadit získanou IP
adresu příslušnému zaměstnanci. Nbtstat (NetBIOS over TCP/IP Statistics) je
nástroj, který dokáže odhalit, kdo je přihlášen na síťovém osobním počítači. Po
použití příkazu nbtstat-A pro konkrétní IP adresu se vrátí tabulka s názvy
vzdálených počítačů a s dalšími identifikačními údaji.
Zjistili jsme, že inkriminovaný počítač používal technik počítačové podpory,
který pracoval na noční směně. V naší firmě není třeba v noci zajišťovat
podporu pro příliš mnoho počítačů, protože většina zaměstnanců je z
kontinentální části USA, takže tento technik měl asi spoustu volného času.
Spustil jsem utilitu jménem Winfingerprint (winfingerprint. sourceforge.net),
abych zjistil, zda dotyčný uživatel otevřeně sdílí nějaká data. S jistotou jsem
byl schopen odhalit několik adresářů, které uživatel sdílel, a v těchto
adresářích bylo několik filmů a počítačových her. Jeden ze souborů byl právě
ten, o němž se psalo v dopise z MPAA.

Co dál
Navázal jsem kontakt s právním odborem a s útvarem lidských zdrojů, abych s
nimi situaci projednal. Protože šlo o problém technického rázu, požádali mě,
jestli bych si se zaměstnancem nepromluvil telefonicky. Chtěl jsem ho přimět,
aby se přiznal, že si ten film stáhl, takže jsem ho neobviňoval, ale spíše jsem
se snažil vyjádřit naše znepokojení, zda snad někde neprodává filmy stažené
prostřednictvím firemního počítače. Jakmile mě ujistil, že film neprodával, jen
se na něj sám díval, mohl jsem ho přimět k přiznání, že film stahoval pomocí
programu BitTorrent pro vzájemné sdílení souborů. Tvrdil, že nevěděl, že
stahování toho souboru je nezákonné, omlouval se a nabídl, že všechny
problematické soubory ze systému odstraní. Já jsem mu ale přikázal, aby nic
nedělal, dokud IT manažer nevezme jeho pevný disk a nepošle nám ho, abychom si
mohli udělat kopii.
Poslední krok bude muset udělat naše oddělení lidských zdrojů a právní odbor.
Musejí rozhodnout, jak situaci řešit. Je na místě důtka? Vyhazov? Počkáme a
uvidíme.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.