Wie man jemandem im Internet schaden kann…
Aufklärung startet im Kleinen, im Bekannten- und Verwandtenkreis. In einer Diskussion rund um die Vorratsdatenspeicherung und die immer verstärkter aufkommende Videoüberwachung habe ich verschiedene Szenarien aufgezeigt. Ein Szenario davon war, dass man durch Data-Mining und diverse Web 2.0-Dienste immer gläserner wird.
Und zwar muss man dafür gar nicht erst seine eigene Homepage ins Web stellen. Viele Leute wissen nämlich leider gar nicht, was man alles mit den passenden Suchmethoden über sie herausfinden kann. Einer meiner Brüder war der Meinung, dass es zu ihm nichts kompromitierendes im Internet gibt. Das stimmt soweit sogar auch. Seiner Meinung nach gibt er nur bekannt, was er auch bekannt geben will, denn er sei sich der Risiken des Data-Mining durchaus bewusst. Aber wer garantiert ihm, dass nicht doch etwas ungewolltes zu seiner Person vorhanden ist? Nicht öffentlich zugängliche Datenquellen einmal beiseite gelassen; aber kann jemand gezielt seine Person angreifen? Mehrere Personen in der Diskussionsrunde waren der Meinung, dass so etwas nicht so einfach geht. Ich wollte den Gegenbeweis antreten. Und zwar ohne Hijacking irgendwelcher (Web-)Accounts, sondern mit möglichst wenig Aufwand.
Ich habe daher vorgeschlagen, dass ich einfach einen simulierten Angriff auf seine Person im Web durchführe: eine Google-Suche zu seinem Namen ergibt zum Startzeitpunkt als 1. Resultat seine Photosammlung bei Flickr:
Soweit so gut und im Sinne von meinem Bruder. Aber gelingt es mir, innerhalb von einem Monat (so die vereinbarte Deadline, da alles darüber hinaus zu lange für einen realistischen Angriff wäre) bei der Suche nach seinem Namen eine potentiell kompromittierende Webseite unter die Top10 der Suchergebnisse bei Google (alles hinter der 10 ist grundsätzlich ja mal uninteressant) zu schummeln?
Am 4. Februar 2008 habe ich ca. 15 Minuten Zeit investiert: christoph.michael-prokop.at im DNS eingetragen, eine minimalistische Webseite unter Beachtung der einfachsten SEO-Tricks angelegt und dann um 01:45 Uhr an Google-AddURL gefüttert.
5 Tage später (9. Februar) dann ein Zwischenstand:
Und das war auch schon mein gewolltes Ziel: Es hat keine 5 Tage gedauert, um an Platz 7 der Suchergebnisse nach meinem Bruder eine quasi X-beliebige Webseite zu platzieren.
Die Auswertung der Logfiles ergibt, dass es nur sehr kurz gedauert hat, bis der Google-Bot das erste Mal vorbei geschaut hat: 04/Feb/2008:04:48:28 +0100
Dem aufmerksamen Leser wird auffallen, dass ich zwar christoph.michael-prokop.at angelegt habe, dass aber devnull.michael-prokop.at im Suchergebnis auftaucht. devnull.michael-prokop.at war der Default-Eintrag für die IP-Adresse meines Webservers (‘echo “GET /” | nc $IP 80’). Google hat darauf angeschlagen – testweise hab ich devnull.michael-prokop.at dann direkt auf christoph.michael-prokop.at umgebogen. Und wie erwartet hat Google das wiederum bestraft, wie eine aktuelle Suche nach meinem Bruder zeigt.
Selbstverständlich ist der Aufwand, um einen gezielten Angriff gegen eine Person mit einem sehr hohen Pagerank zu fahren höher. Es ist aber durchaus realistisch und machbar. Man erinnere sich nur an die “miserable failure” und “Inkompetenz” Google-Bomben. Die Ziele von so einem konkreten Angriff sind wohl seltener Prominente mit einem hohen Pagerank als die einfachen Leute: der laute Nachbar, die Konkurrenz bei der Jobsuche oder der Lehrer der ja ach so gemein benotet.
Fazit: Wette gewonnen. Mehrere Leute von den Risiken der Vorratsdatenspeicherung und der Videoüberwachung überzeugt. Und was soll ich über dich herausfinden, was du noch nicht weisst?