Haken hierbei: Die CMTS muss natürlich auch das Protokoll IPv6 unterstützen, so wie das neue Modem. Das bisher zum Einsatz gekommende Modem CISCO EPC3212 sowie in Ausnahmefällen das CISCO EPC3208 bieten zwar grundsätzlich IPv6-Funktionalität, wie es jedes Docsis 3 Modem können sollte, jedoch gibt es für diese Modems noch kein Firmware Upgrade, derzeit ist Firmware e3200-E10-12-v302r125533-120225c-KDG aktuell.

Die Technik: Dual-Stack Lite

Als Übertragungstechnik kommt bei den jetzt angeschlossenen Kunden die Technik Dual-Stack Lite zum Einsatz. Dies kann man sich wie IPv4in6 vorstellen. Der Endkunde erhält lediglich eine öffentliche IPv6-Adresse, jedoch keine IPv4 mehr. Der gesamte Traffic, sowohl IPv4 als auch IPv6, wird hierbei über die IPv6-Verbindung vom Modem zur CMTS getunnelt. Diese “entpackt” die Pakete dann wieder und der IPv4- bzw. IPv6-Traffic wird an das gewünschte Ziel weitergeleitet. Die CMTS hat hierzu einige öffentliche IPv4-Adressen zur Verfügung, welche sich alle Teilnehmer des Netzbereichs teilen. Um dies zu bewerkstelligen “merkt” sich die CMTS die Endkunden IPv6, die Ports und das Ziel (v4 oder v6) der Anfrage, um diese bei einer Antwort der Gegenstelle richtig zuzuordnen. IPv4-NAT und Portforwarding ist beim Endkunden nicht mehr möglich, denn der Kunde bekommt keine öffentliche IPv4-Adresse mehr zugeteilt, sondern die CMTS übernimmt die NAT-Funktionalität. Dies hat einige Nachteile:

• keine eigenen IPv4-Forwardings mehr (IPv6 Port-Forwardings möglich)
• Programme, welche auf offene IPv4-Ports angewiesen sind (Torrent, Call of Duty – Modern Warfare, jegliche Serverdienste ..) funktionieren lediglich eingeschränkt hinter der öffentlichen IPv4 des Kunden

Der Netzsegment-Test: IPv6 Neighbor Discovery Protocol

Man kann ganz einfach nachschauen, ob bereits IPv6- und NDP-Traffic im eigenen Segment vorhanden sind. Das Neighbor Discovery Protokoll (NDP) ist der Ersatz für das Address Resolution Protokoll (ARP), welches für IPv4 eingesetzt wird.  Hierfür eignet sich TCPDump auf dem Router (OpenWRT, DD-WRT,..) oder ein direkt an das Kabelmodem angeschlossener PC. Hierzu ist mittels des Aufrufs von tcpdump -i eth0.2 ip6 der Netzverkehr am WAN-Port des Kabelmodems zu überprüfen. Das Interface eth0.2 muss bei einem Aufruf mit dem WAN-Interface ersetzt werden.

Beispiel für ein sehr aktives IPv6 fähiges Netzsegment (Danke sparkie):

19:54:19.324321 00:26:cb:d5:d1:d9 > 33:33:ff:ff:ff:fe, ethertype IPv6 (0x86dd), length 86: fe80::1 > ff02::1:ffff:fffe: ICMP6, neighbor solicitation, who has fe80::ffff:ffff:fffe, length 32
19:54:19.326422 00:26:cb:d5:d1:d9 > 33:33:ff:72:c7:24, ethertype IPv6 (0x86dd), length 86: fe80::1 > ff02::1:ff72:c724: ICMP6, neighbor solicitation, who has fe80::3e07:54ff:fe72:c724, length 32
19:54:20.339073 00:26:cb:d5:d1:d9 > 33:33:ff:ff:ff:fe, ethertype IPv6 (0x86dd), length 86: fe80::1 > ff02::1:ffff:fffe: ICMP6, neighbor solicitation, who has fe80::ffff:ffff:fffe, length 32
19:54:20.340092 00:26:cb:d5:d1:d9 > 33:33:ff:72:c7:24, ethertype IPv6 (0x86dd), length 86: fe80::1 > ff02::1:ff72:c724: ICMP6, neighbor solicitation, who has fe80::3e07:54ff:fe72:c724, length 32
19:54:20.343891 00:26:cb:d5:d1:d9 > 33:33:ff:5b:6a:d4, ethertype IPv6 (0x86dd), length 86: fe80::1 > ff02::1:ff5b:6ad4: ICMP6, neighbor solicitation, who has fe80::129a:ddff:fe5b:6ad4, length 32
19:54:20.615051 00:26:cb:d5:d1:d9 > 33:33:00:00:00:01, ethertype IPv6 (0x86dd), length 86: fe80::1 > ff02::1: ICMP6, router advertisement, length 32
19:54:21.338956 00:26:cb:d5:d1:d9 > 33:33:ff:ff:ff:fe, ethertype IPv6 (0x86dd), length 86: fe80::1 > ff02::1:ffff:fffe: ICMP6, neighbor solicitation, who has fe80::ffff:ffff:fffe, length 32
19:54:21.340396 00:26:cb:d5:d1:d9 > 33:33:ff:72:c7:24, ethertype IPv6 (0x86dd), length 86: fe80::1 > ff02::1:ff72:c724: ICMP6, neighbor solicitation, who has fe80::3e07:54ff:fe72:c724, length 32
19:54:21.342906 00:26:cb:d5:d1:d9 > 33:33:ff:5b:6a:d4, ethertype IPv6 (0x86dd), length 86: fe80::1 > ff02::1:ff5b:6ad4: ICMP6, neighbor solicitation, who has fe80::129a:ddff:fe5b:6ad4, length 32
19:54:22.316245 00:26:cb:d5:d1:d9 > 33:33:ff:1d:a3:9f, ethertype IPv6 (0x86dd), length 86: fe80::1 > ff02::1:ff1d:a39f: ICMP6, neighbor solicitation, who has fe80::3e07:54ff:fe1d:a39f, length 32

Beispiel für ein wenig aktives IPv6 fähiges Netzsegment:

23:09:20.713966 IP6 fe80::1 > ff02::1: ICMP6, router advertisement, length 32
23:09:25.714258 IP6 fe80::1 > ff02::1: ICMP6, router advertisement, length 32
23:09:30.714802 IP6 fe80::1 > ff02::1: ICMP6, router advertisement, length 32
23:09:35.715157 IP6 fe80::1 > ff02::1: ICMP6, router advertisement, length 32
23:09:36.819646 IP6 fe80::1 > ff02::1:ff98:e8b1: ICMP6, neighbor solicitation, who has fe80::c225:6ff:fe98:e8b1, length 32
23:09:40.715881 IP6 fe80::1 > ff02::1: ICMP6, router advertisement, length 32
23:09:45.715571 IP6 fe80::1 > ff02::1: ICMP6, router advertisement, length 32
23:09:50.715882 IP6 fe80::1 > ff02::1: ICMP6, router advertisement, length 32

Sollte ein Netzsegment noch nicht IPv6-fähig sein, wird man hier auch keinen Traffic sehen, verständlich.

Die IPv6-Subnetze: Auf Basis von Nutzern ermittelt

Wie bereits erwähnt interessiert mich seit Jahren IPv6 und ich setze es bereits aktiv mittels eines Tunnels von SixxS ein. So hat mich interessiert, wie die bereits mittels IPv6 im Netz von Kabel Deutschland  surfenden Nutzer verteilt sind. So habe ich diesen Thread erstellt, in welchem sich gerne jeder melden kann (oder auch gerne hier mittels Kommentar). Folgende aktiven Subnetze sind bislang bekannt:

• 2a02:8108: (Schleswig-Holstein, Niedersachsen)
• 2a02:8109: (Berlin)
• 2a02:810a: (Sachsen)
• 2a02:810c: (Saarland)
• 2a02:810d: (Bayern)

Interessant ist an dieser Stelle auch, ob die Subnetze spezifisch auf ein Bundesland oder ein Stadt gemappt werden, sprich alle Kunden aus Berlin erhalten ein IPv6-Subnetz welches immer mit 2a02:8109: beginnt. Hiermit würden sich Nutzer hervorragend Lokalisieren lassen  Die bislang genutzen öffentlichen IPv4-Adressen sind, nach bisherigen Recherchen, auf die folgenden Subnetze verteilt:

• 95.91.241.0/24
• 95.91.242.0/24
• 95.91.243.0/24

Je mehr Nutzer sich also melden, umso genauer kann ich hier und im Forum Informationen zur Einführung von IPv6 bei Kabel Deutschland machen.

• Nutzer bekommen (wie erwartet) 5 GB gratis Speicherplatz
• Speicherplatz kann hinzugekauft werden (ab 20GB für 4$ pro Monat, siehe Google Docs Speicherplatz Preisliste hier)
• Tiefe Integration in Google Docs. Google nennt es “die nächste Generation von Google Docs”
• PC, MAC und Android Apps werden heute veröffentlicht.
• IOS (Apple) App kommt nächste Woche
• Google verspricht 99,9% Uptime (SLA)
• Eine Suchfunktion wird vorhanden sein (mit Fokus auf dieser), aber auch OCR und Bilderkennung werden vorhanden sein.

Hier die englische Übersetzung mittels Google Translate:

Posted by Sundar Pichai, Senior Vice President, Google Chrome & Apps

Today we launch Google Drive, a centralized space where you can create, share, collaborate and store all your documents. You establish a budget with your staff that you develop a presentation with a working group or hosting a seminar, you can now do it in Drive. Download and access all your documents, videos, photos, Google Docs, PDF, etc..
Next step in the evolution of Google Docs and functionality of downloading any material, Drive will allow you to live, work and play in the Cloud.

Google Drive, you can:
Create and collaborate. Google Docs is integrated directly into Google Drive, allowing you to work in real time with colleagues on documents, spreadsheets and presentations. Add and reply to comments on any media (PDF, image, videotape, etc.) and be informed when other people comment on or wish to share documents with you

Keep your documents securely and access anywhere and any device connected to the Internet. All your documents are just … there. Whatever happens. Drive you can install on your Mac, PC or download the application Drive on your phone or Android tablet. IOS version of the application will be available in the coming weeks. Drive is also accessible to visually impaired people using a screen reader tool

Search All. Search by keyword and filter by document type, owner, activity, etc.. Drive can even recognize the text content of a document scanned by technology OCR. For example, if you download the scanned image of an old newspaper clipping, you can search using one of the words quoted in the article. We have even begun to tap the image recognition: if you upload a picture of the Eiffel Tower in Drive, the next time you search the term [Eiffel Tower], the image will appear in the results

Open more than 30 types of documents directly from a Web browser – including high-definition video, Adobe Illustrator, Adobe Photoshop – even without the proper software installed on your computer

We know that you need to access your documents in order to work everyday. Google Drive uses the same infrastructure as any other Google Apps services, which means it also has the same administrative tools, security and reliability, among others:

Centralized management: new tools are available in the Apps control interface for administrators to add or remove storage space for individual or groups of users

Security: encryption of data transfer between your browser and our servers, and check option 2 in time to prevent non-authorized access to an account by requiring users to log on returning secure code generated from their mobile phone

Data replication: synchronous replication of data in multiple data centers ensures the safety and accessibility of your records even in the unlikely event one of our data centers is temporarily unavailable

Availability: 99.9% uptime guarantee so you can be assured that your documents are accessible when you need it
Each user has access to Google Apps 5GB storage included in the suite Google Apps administrators can centrally manage and purchase additional storage space. When a user reaches the limit, administrators can purchase the necessary space of 20GB for $ 4 per month to 16TB (Google Docs are not counted in the quota of storage space).
Starting today, Google Apps administrators will see new orders for Drive in their management interface. Users of companies have opted for the quick launch, will enable Google Drive on drive.google.com / start and will receive their access in the following weeks.

Drive is designed to work harmoniously with all the products you use – whether Google products or third party service. You can share your photos on Google Drive + and will soon be able to attach documents directly into your emails Drive Gmail. Drive is intended to be an open platform, so we work with many third party developers, allowing you to do things such as sending faxes, edit videos and create models directly from Drive website. To install these applications, visit the Chrome Web Store and follow the events for more useful applications to come.
It is only the beginning of Google Drive, many developments are coming. Stay tuned!

• DNS: coresec.de / www.coresec.de
• IPv4: 89.163.160.163
• IPv6: 2a01:480:2000:9:80:c0de:defa:ced

Für Alle, welche sich einen Überblick verschaffen möchten, können im Laufe des Tages immer mal wieder die Seite drive.google.com besuchen. Derzeit liefert die Seite noch eine 404-Antwort an die Besucher aus, dies könnte sich aber sehr bald ändern.  Bereits letzte Woche wurden Gerüchte laut, dass der Launch des Google Drive Angebots auf den 24.04.2012 fällt. Bisher jedoch nur Gerüchte, bleibt abzuwarten ob und wann heute der Dienst für die Öffentlichkeit zur Verfügung gestellt wird. Ein Auszug aus den DNS-Einstellungen zeigt jedoch, es sieht gut aus:

fs@coresec:~# dig drive.google.com

; <<>> DiG 9.7.3 <<>> drive.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER
;; QUESTION SECTION:
;drive.google.com.              IN      A

;; ANSWER SECTION:
drive.google.com.       85951   IN      A       209.85.148.138
drive.google.com.       85951   IN      A       209.85.148.101
drive.google.com.       85951   IN      A       209.85.148.100
drive.google.com.       85951   IN      A       209.85.148.102
drive.google.com.       85951   IN      A       209.85.148.113
drive.google.com.       85951   IN      A       209.85.148.139

Sobald der Dienst live geht, werde ich diese Artikel natürlich updaten.

Update 1 (15:51 Uhr):

Soeben wurde die robots.txt auf drive.google.com angepasst:

User-agent: *
Crawl-delay: 1
Allow: /$
Allow: /?hl=
Disallow: /?hl=*&
Allow: /support/
Allow: /a/
Allow: /Doc
Allow: /View
Allow: /ViewDoc
Allow: /present
Allow: /Present
Allow: /TeamPresent
Allow: /EmbedSlideshow
Allow: /presentation
Allow: /templates
Allow: /previewtemplate
Allow: /fileview
Allow: /gview
Allow: /viewer
Allow: /leaf
Allow: /open
Allow: /document
Allow: /drawings
Allow: /demo
Allow: /folder
Disallow: /templateabuse
Disallow: /

Update 2 (18:51 Uhr):

Google Drive ist gestartet!

• Alle hochgeladenen Videos überprüfen
• Wenn eine Video gegen die Rechte der GEMA verstößt, muss dieses gelöscht werden
• Anfragen der GEMA zur Löschung von Titeln nachkommen, hierbei muss die GEMA nichtmal das Content-ID-System von Youtube nutzen

Ok halten wir also fest: Youtube kann nicht alle Videos überprüfen, auch können nicht pro Tag tausende Dateien durch den Kundensupport gelöscht werden. Für letzteres gibt es ja (eigentlich) das Content-ID-System, in welchem man einen Teil seines beanstandeten Musikstückes hochlädt und welches dann mit der Youtube-Datenbank verglichen wird, das muss die GEMA jedoch nicht verpflichtend nutzen. Vorraussichtlich wird Youtube (Google) hier Widerspruch beim OLG Hamburg einlegen.

Mein Rat an Google: Youtube komplett für Deutschland sperren, dann spart man sich die GEMA und den Ärger mit diesem Verein.

[UPDATE}: Hier nun das passende Dokument der Gerichspressestelle Hamburg

Die Forderung des Zentralrats der Juden klingt legitim, ist sie auch, jedoch sollte man sich der Sachlage doch bitte etwas detaillierter annehmen und nicht einfach drauf los lamentieren. So hat die Parteispitze der Piraten bereits im Jahr 2008 Herrn Thiesen für seine Äußerungen verwarnen lassen. Auch wurde im Juli 2009 ein Offener Brief veröffentlicht, welcher noch einmal detailliert die Entschuldigung des Herrn Thiesen kommentiert und die Äußerungen eindeutig zurückweist. Ich zitiere an dieser Stelle:

Wir als Piraten, Deutsche und Menschen sind uns der besonderen Verantwortung gegenüber der deutschen Geschichte bewusst. Wir wenden uns entschieden gegen Versuche, die Verbrechen des zweiten Weltkrieges zu relativieren und zu verharmlosen. Wir lehnen jede Form von Antisemitismus und Intoleranz ab. Und wir wehren uns entschieden gegen alle Versuche, die Meinungsfreiheit für solche Bestrebungen zu missbrauchen.

Wir, die Unterzeichner, halten Deine Stellungnahme vom 08. Juli 2009 für genauso unzureichend wie Deine vorangegangenen Stellungnahmen. Wir halten Deine Äußerungen, von denen Du Dich weiterhin nicht distanzierst, für vollkommen unvereinbar mit den Grundsätzen der Piratenpartei und der Menschenwürde. Seit der Rüge im Jahr 2008 hattest Du die Chance, das zu bereinigen. Unserer Meinung nach ist Dein Verhalten parteischädigend und mit Parteiämtern wie Listenplätzen nicht vereinbar. Wir fordern Dich auf, von Deinem Parteiamt und dem Listenplatz zurückzutreten und deine Parteimitgliedschaft zu überdenken.

Deutlich genug? Lieber Zentralrat der Juden: Wir leben immer noch in einem Rechtsstaat, wenn andere Parteien sich hierüber hinwegsetzen bin ich umso stolzer darauf, ein Wähler der Piraten zu sein, denn ein zweites Rügen, nach der Verwarnung aus dem Jahr 2008 ist leider nicht mehr möglich und rechtlich auch nicht zulässig.

Ich halte mich ja gerne an die responsible disclosure Richtlinien, aber im Fall von UnityMedia war das nun ein wenig zuviel des Guten. Ich habe am 12.03.2012 mehrere XSS-Schwachstellen auf der Webseite der UnityMedia entdeckt und diese per Screenshot dokumentiert. Meine daraufhin folgenden Anrufe bei der kostenlosen und kostenpflichtigen Hotline (für nicht-UnityMedia Kunde), sowie in der Zentrale, verliefen im Sand. Es fühlte sich niemand dafür zuständig, sich der Thematik anzunehmen, geschweige die Problematik an einen einen Vorgesetzten mit Fachkompetenz weiterzuleiten.

Nach 11 Versuchen einen adäquaten Ansprechpartner zu finden, habe ich mit Glück in der Produktbestellung einen jungen Mitarbeiter erreicht welcher die Problematik erkannt hat und mein Anliegen an die zuständige Stellen geleitet hat. Amüsant an dieser Stelle sind auch die Twitter-Feeds von UnityMediaHilfe wo ich darum gebeten worden bin, als nicht UnityMedia-Kunde, eine kostenpflichtige Rufnummer zu wählen um wieder in irgendeinem Callcenter zu landen, wo von der Thematik niemand einen Plan, geschweige denn eine Vorstellung hat. Es gibt darüber Hinaus auch keine Möglichkeit auf anderem Wege mit UnityMedia in Kontakt zu treten. Alle Meldungen über das Callcenter verliefen im Sand, sprich, ich bekam keine Rückmeldung und die XSS-Lücken wurde nicht weitergeleitet oder gar gefixt.

Am 13.04.2012, einen Monat nach Meldung der Lücke, bekam ich dann einen Anruf des Leiters der Sicherheit bei UnityMedia mit seinen Kontaktdaten und der Bitte die Informationen zu übersenden. Dies habe ich auch unverzüglich getan, die Lücke wurde geschlossen und .. tja … das war es dann auch. Kein Danke, keine Anerkennung, Schweigen. Ich habe von UnityMedia mehr erwartet zumal es um die Sicherheit der Kundendaten geht. Leider wird, wie bei einigen anderen großen Unternehmen, gerne genommen aber nichts gegeben.

Als Beweis habe ich zwei exemplarische Screenshots in diesen Post angefügt. Bleibt nur eins: Responsible Disclosure bei UnityMedia – nie wieder!

[UPDATE]: Nach einer Mail an UM wurde ich gebeten den Artikel wieder offline zu nehmen und alle markenrechtlich geschützten Inhalte zu entfernen, daher musste ich die Screenshots ein wenig anpassen.

mklink /d c:\directory\symboliclink \\destination\share

Damit hat man das Netzlaufwerk in den lokalen Ordner mit “symboliclink” gemountet.

Nun gut, ich mag falsch liegen, jedoch vermutet Spiegel-TV hier lediglich eine Manipulation, ich wollte es doch bitte genauer und anhand von Fakten wissen, was auf dem dubiosen Portal vor sich geht. Ich stand nach dem ersten TV-Beitrag bereits mit Spiegel-TV in Kontakt, jedoch war ich so kurzfristig nichtmehr für ein TV-Interview zu haben. Leider enthielt die zweite Spiegel-TV-Reportage für mich erneut nicht genug technischen Hintergrund und eine ordentliche Aufbereitung der Daten, daher möchte ich an dieser Stelle gerne meine Rechercheergebnisse  veröffentlichen. Ich begann also am Donnerstag mir die Seite genauer anzuschauen und die Abläufe zu dokumentieren:

Sammeln von Informationen

$bigpost = 'page_items={';
 $mydb->query("SELECT * FROM auctions");
 while($row = $mydb->fetchRow()) {
 $bigpost .= "\"".$row['itemid']."\":{\"id\":\"".$row['itemid']."\"},";
 }
 $bigpost = substr($bigpost,0,-1);
 $bigpost .= "}";

Sammeln der Daten

Nun geht es darum die Daten zu sammeln. Hierzu erstelle ich mir eine eigene kleine MySQL-DB mit ein paar wenigen Fremdschlüsseln und die Sache war geritzt. Nun heisst es warten .. *gähn* .. nunja, ich war dann ersteinmal im Bett und konnte mich am nächsten Tag um die gesammelten Daten kümmern. Ich stelle an dieser Stelle die Daten frei zur Verfügung:

• Auktionen (Download): interne id, auktionsid, endzeitpunkt, buy_now option, originalpreis, beschreibung, verkäufer
• Gebote (Download): interne id, auktionsid, endzeitpunkt, gebotshoehe, gebotszeitpunkt, nickname

Der Endzeitpunkt der Auktionen ist hier jedoch variabel. Dieser wird bei jeder neu startenden Auktion erneuert, ich habe diesen jedoch zu Testzwecken mit reingenommen.

Auswerten der Daten

Das Auswerten der Daten brachte dann das eindeutige Ergebnis, welches ich an dieser Stelle kurz anhand von Grafiken dokumentieren und kommentieren möchte:

“Bieterverhalten” auf TopDeals.de

Zunächst betrachte ich die Zeiten, zu welchen Gebote abgegeben worden sind. Wie vorher erwähnt, habe ich jede Sekunde alle abgegebenen Gebote protokolliert (Anmerkung: Aufgrund von Laufzeiten können vereinzelt Gebote nicht aufgeführt worden sein, dies beläuft sich aber im Bereich von einem Promill). Bei der Betrachtung fällt eines deutlich auf, dass Gebote immer als “Peaks” auftreten, es gibt auf der Seite also keine homogene Verteilung der Gebote! Man erkennt deutlich, dass zu festen Zeitpunken, sekundengenau 4,5 oder bis zu 11 Gebote gleichzeitig abgegeben werden, danach gehen keine Gebote mehr ein (oder vereinzelt legale Gebote), dann wieder ein Haufen Gebote zur gleichen Zeit.

Zur Verdeutlichung dieses Sachverhaltes hier noch ein Screenshot aus der Datenbank, mit den abgegeben Geboten. Ich habe die normalen und die automatisierten Bieter (Bietroboter) farblich gekenntzeichnet – man achte bitte auf die Abgabezeit der Gebote! So geht das durch die komplette Datenbank – Tag ein – Tag aus. Alle gebote sind bitte den hier veröffentlichten Dateien zu entnehmen.

Verkaufspreis Pro Auktion

Nungut, haben wir den ersten Beweis erbracht, dabei soll es jedoch nicht bleiben. Wer würde nicht gerne wissen, für wieviel Euro die jeweiligen Auktionen an die Käufer gegangen sind. Die Seite gibt keinerlei Statistiken an die Nutzer weiter, auch kann man keine Historie der bisher verkauften Produkte einsehen, wie es etwa bei Ebay der Fall ist. Das möchte ich gerne ändern. Die Grafiken zeigen beendete Auktionen mit Ihrem zum Zeitpunkt des Auslaufens vorhandenen Höchstgebot. Es sollte jedem klar werden, dass dies nicht normal sein kann. Die vorhandenen Peaks sind die in der ersten Spiegel-TV-Reportage angesprochenen “Spaßbieter”. Wie man in der letzten Grafik sieht leisten die Bietroboter jedoch allesamt sehr gute Arbeit :

Links zu den Auktionen:

• Auktion 1 (ID: 1095): Kreativer Küchen-Zauberer: Mr. Magic Smoothie Maker
• Auktion 2 (ID: 1097): Koffer packen! 3tlg. Trolley Set im Wert von 150€
• Auktion 3 (ID: 929): Holland erleben: Genießertage im 4* Best Western Hotel Stadskanaal
• Auktion 4 (ID: 1094): Stilvoll genießen: 4-teiliges Gläser-Set von Villeroy & Boch

Wen die ersten drei Grafiken nicht überzeigen, dem sollte spätestens nach der vierten Grafik klar sein, dass es sich hierbei nicht um einen Zufall handelt. Alle Grafiken sind frei herunterzuladen unter http://coresec.de/wp-content/uploads/2012/03/auctions.tar.gz

Roboter bieten in vorhersehbaren Abständen!

Die Bietroboter bieten alle 20-26 Sekunden auf mehrere Produkte gleichzeitig. Warum fragen Sie sich vielleicht, aber die Antwort ist einfach: Ein realer Nutzer, welcher sich für ein Bügelbrett interessiert wird nicht zeitgleich 10 andere Auktionen im selben Fenster geöffnet haben und somit ist die Chance, dass die Bietroboter aufgedeckt werden geringer – einfach, oder?!

Hier mal die Auskunft eines Scriptes, welches mir zeigte, wann die Software von TopDeals geboten hat. Das Script sucht nach vielen Geboten in der selben Sekunde. In Klammern steht die Zeit bis zum nächsten “Massengebot”:

• 2012-03-26 17:18:25 – 9 Bieter (+ 25 Sekunden)
• 2012-03-26 17:18:50 – 6 Bieter (+ 24 Sekunden)
• 2012-03-26 17:19:14 – 6 Bieter (+ 22 Sekunden)
• 2012-03-26 17:19:36 – 7 Bieter (+ 23 Sekunden)
• 2012-03-26 17:19:59 – 9 Bieter (+ 24 Sekunden)
• 2012-03-26 17:20:23 – 9 Bieter (+ 22 Sekunden)
• 2012-03-26 17:20:45 – 11 Bieter (+ 24 Sekunden)
• 2012-03-26 17:21:09 – 8 Bieter (+ 20 Sekunden)
• 2012-03-26 17:21:29 – 11 Bieter (+ 20 Sekunden)
• 2012-03-26 17:21:49 – 9 Bieter (+ 25 Sekunden)
• 2012-03-26 17:22:14 – 14 Bieter (+ 23 Sekunden)
• 2012-03-26 17:22:37 – 12 Bieter (+ 22 Sekunden)
• 2012-03-26 17:22:59 – 6 Bieter (+ 21 Sekunden)
• 2012-03-26 17:23:20 – 14 Bieter (+ 21 Sekunden)
• 2012-03-26 17:23:41 – 12 Bieter (+ 21 Sekunden)
• 2012-03-26 17:24:02 – 14 Bieter (+ 24 Sekunden)
• 2012-03-26 17:24:26 – 12 Bieter (+ 22 Sekunden)
• 2012-03-26 17:24:48 – 11 Bieter (+ …. )

Persönliche Worte

Sehr geehrte Programmierer, Hintermänner, Drahtzieher,
Sehr geehrter Herr Dirk Ströer,
Sehr geehrter Herr Jens Kunath,

ich betrachte Ihre Seite als gewerbsmäßig geplanten und umgesetzen Betrug in großem Stil. Sie haben frech dem Verdacht der Preismanipulation widersprochen und beharren auf dem Standpunkt. Ein anonymer Anruf meinerseits in Ihrer Firmenzentrale brachte ebenfalls das Ergebnis “Sehr geehrter Herr Strankowski, ich kann Ihnen versichern, dass wir keine Preise manipulieren oder Bietsoftware einsetzen”. Dazu kann ich nur sagen: Wer nichts auf dem Kasten hat, der zieht eben seine Kunden durch die Scheisse und Ihr Unternehmen stinkt bis in den Himmel.

[UPDATE] 26.03.2012 – Update der Roboter-Programmlogik

Nach der zweiten Reportage durch Spiegel-TV, welche am 25.03.2012 im TV ausgestrahlt worden ist, haben sich die Programmierer hinter TopDeals.de wohl gedacht, dass der Braten langsam zu heiss wird und man die Bietroboter besser verschleiern muss. So wurde zunächst zwischen 16:00 und 17:00 Uhr die Programmlogik dahingehend angepasst, dass die Bietroboter jetzt nichtmehr zu Dutzenden bieten, sondern lediglich ein Gebot auf ein Produkt abgeben um den gewünschten Mindestpreis zu erreichen. Beweis? Aber sicher!

WTF haben die sich dann wohl auch gedacht und haben kurz darauf ein zweites Update eingespielt. So starten Auktionen jetzt schon direkt mit einem Gebot, Beispielsweise der Fernseher “Full-HD Fun: Protec LCD Full HD Fernseher (32 Zoll)“. Das Gebotsfeld ist leer und auch eine Abfrage der Gebote gibt ein leeres Resultat zurück:

{“timestamp”:1332794360553,”reload”:false,”data”:{“1224″:{“item_id“:1224,”hash”:”38962330fafa02c9f441406fcbbd0fe9″,”ends”:1332794549000,”buy_now”:false,”current_bid“:”297,50\u00a0\u20ac”,”current_bid_time“:null,”current_bidder_nick“:null,”saved”:”799,00\u00a0\u20ac”,”bids”:[],”saved_percent”:100,”closed”:0,”new_item”:null,”restarting”:false}},”featured”:false}

Alles klar, 297,50 sind “geboten”, aber es gibt keinen Bieter und kein Zeitpunkt des Gebots.

Hinweis: Das zweite Gebot sieht nach einem legalen Gebot aus. Der Fernseher darf also auch für 300,00 Euro weggehen.

[UPDATE] 28.03.2012 – Das neue “TopDeals”

Und so sieht TopDeals heute aus. Es gibt (fast) keine 1-Euro-Auktionen mehr, alle Auktionen starten mit einem Festpreis, welcher jetzt auch unter den “letzten Geboten” auftaucht. Ich vermute, dass man als Startgebot hier den Preis des zuvor festgelegten minimalen Verkaufspreises gewählt hat, eben diesem an welchem sich die Biet-Bots orientiert haben. Somit hat sich das Thema “TopDeals” erledigt, die Firma darf jetzt gerne die Mitarbeiter entlassen und auf das kommende Strafverfahren warten. Die in die Werbung gepumpten Millionen und der geplante TV-Werbespot dürften sich nun in Luft aufgelöst haben. Kleine Info am Rande, hier die Ergebnisse der Google-Live-Suche für den Begriff Topdeals:

1. topdeals.de seriös
2. topdeals gmbh hamburg
3. topdeals betrug
4. topdeals seriös

Ich denke die können die Marke einstampfen – ein weiteres Projekt, welches von Herrn Kunath an die Wand gefahren worden ist .

[UPDATE2] 28.03.2012 – Die Umstellung, Die Anzeige, Die Pressesprecherin

Nach Auskunft von TopDeals.de wird es derzeit keine Stellungnahme zu den Vorwürfen geben. Die Umstellung der Auktionen sei derzeit testweise implementiert, um zu überprüfen, “ob Nutzer dieses Angebot annehmen”. Auch habe ich mit der (ehemaligen) Pressesprecherin, welche ich bereits am 21.03.2012 kontaktiert habe, gesprochen. Sie teilte mir mit, dass Sie seit Oktober nichtmehr für TopDeals zuständig sei und ab diesem Zeitpunkt bereits als Freelance-Pressesprecherin arbeite. Schon komisch, wo ich doch am 21.03.2012 von Ihrer E-Mail-Adresse el***.frat********@topdeals.de eine E-Mail bekommen habe, wo um die von mir zusammengetragenen Informationen gebeten worden ist. Die Kontaktdetails zu der (ehemaligen) Pressesprecherin wurden komplett von der Webseite entfernt.

Ich habe hier auch eine Kopie meiner Anzeige angehängt, das Aktenzeichen gibt es per E-Mail (Impressum) auf Anfrage.

[UPDATE3] 28.03.2012 – Beweis: Alter “kalkulierter Mindestpreis” ist jetzt das “Startgebot”

Wie der Leser “Stefan” in meinem Blog festgestellt hat, werden jetzt auch bei beendeten laufenden Auktionen die “Startgebote” angezeigt. Dies belegt einmal mehr, dass es sich bei den jetzt eingeführten “Startgeboten” um den vorher im Spiegel-TV-Beitrag erwähnten “kalkulierten Mindestpreis” handelt. Ich habe hier mal das Beispiel des Schokoladenherstellers “Chocotique” gewählt, einem ehemaligen Kunden von TopDeals, da dieser bereits eine Stellungnahme veröffentlicht hat und sich von den Machenschaften von TopDeals distanziert. Ebenfalls hat Chocotique ihnen zugespielte Daten veröffentlicht welche belegen, dass hier die Bietroboter immer bis 19,95 € geboten haben.

Wen verwundert es nun, dass das neue “Startgebot” der bereits abgelaufenen Auktion 19,95 € beträgt?

Bereits am Sonntag, den 13.03.2011 habe ich mich mit diesem BürgerForum mal etwas näher auseinandergesetzt. Mir wurde als Gast leider verwehrt, die Mitgliederliste einzusehen, da diese lediglich für die 10.000 ausgewählten Mitglieder zugänglich sein soll(te). (Siehe Screenshot #2)

Habe ich mich dann dazu entschieden, dass ich diesen Standpunkt nicht vertreten kann und ich gerne wissen möchte, wer nach demokratischem Grundsatz hier repräsentativ für mich Interessen in dem Forum vertritt und einstellt. Darum habe ich mir die Seite für 2 Minuten angeschaut und bin auf eine eklatante Lücke aufmerksam geworden:

Zwar sind die Mitglieder nicht als Liste zum Abruf verfügbar, jedoch kann man per direktem Link auf das Profil zugreifen. Die Links sehen folgendermaßen aus: http://www.buergerforum2011.de/index.php?page=one_author_messaging&id_one_author=690569596&menucontext=38 (&menucontext=38 ist hier irrelevant und kann vernachlässsigt werden).

Das wichtige hierbei habe ich bereits hervorgehoben. Es geht um die Variable “id_one_author”. Diese ist für jedes registrierte Mitglied eindeutig und einmalig. Die ID’s variieren hierbei in der Range von 0 – 999999999. Relativ random wie man meinen mag Zwar gibt es keine öffentlich zugängliche Liste, jedoch ist es doch ein Leichtes, die 999 Millionen ID’s zu überprüfen und dann anhand der Daten festzustellen, wer uns denn so in diesem Forum vertritt – gerne doch!

Also habe ich fix eine meiner Crawlerklassen genutzt, angepasst und abgefeuert. Mittels 10 Servern mit jeweils 10 Threads in Verbindung mit dem Tor-Netzwerk war es mir dann auch möglich “einige” Profile zu überprüfen. Leider hat in der Nacht dann der NGinx der Seite versagt und die Kiste(n) (Seite läuft auf einem LB mit 2 Kisten) wurden dann für 15 Minuten offline genommen.

Heute wurde die Funktion deaktiviert (huch!) und es ist als Gast nichtmehr möglich Profile abzurufen (siehe Screenshot). Bereits nach “ein paar” ID’s habe ich “einige” Profile der Seite abfangen können. Die Daten habe ich verschlüsselt in die eine Cloud geschickt (und mittlerweile auch wieder gelöscht). Einer Veröffentlichung schaue ich mit traurigem Auge entgegen, da ich weiss, was dann passiert (SVZ lässt Grüßen). Da es sich hier um eine staatliche Einrichtung handelt, ist dies umso fraglicher.

Trotzdem: Ein großes Lob an die Bertelsmann-Stiftung, die Heinz Nixdorf Stiftung, dem Bundespräsidialamt, DEMOS Gesellschaft für E-Partizipation mbH sowie IQuer.net, welche an dieser Stelle exzellente Arbeit geleistet haben (FAIL!). Hierbei stellt iQuer.net “lediglich die für den Betrieb der Software notwendigen Services wie Webserver und Datenbanken zur Verfügung. Für die darauf laufenden Applikationen ist iquer.net als Hoster grundsätzlich nicht verantwortlich.” (Joachim Staeck, Geschäftsführer iQuer.net, 2011).

1. Der “virtuelle 2-Node-HA-Cluster mit shared storage” hat bei zu vielen Anfragen (wie bitte, bereits zwischen 300-2000 Anfragen/Sekunde?) versagt.

2. Herrlich, dass Sie direkte Zugriffe auf die Profile für Gäste zulassen. Das System basiert hierbei auf “Demos-Diskurs“.

Edit: Ich finde es auch klasse, dass soviele Mitglieder meiner Altersklasse entsprechen und sich mit dem Bereich der Informationstechnik auseinandersetzen /Sarkasmus

Edit2: Informationen entfernt, welche nicht unbedingt öffentlich zugänglich ein müssen

Update 1: Die mögen mich wirklicht nicht (mehr):

:~# wget buergerforum2011.de
--2011-03-14 21:40:02--  http://buergerforum2011.de/
Aufloesen des Hostnamen buergerforum2011.de... 81.20.85.137
Verbindungsaufbau zu buergerforum2011.de|81.20.85.137|:80... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 200 OK
Laenge: 0
In » index.html « speichern.
[ <=>                                   ] 0           --.-K/s   in 0s
2011-03-14 21:40:02 (0,00 B/s) - » index.html « gespeichert [0/0]

Und

:~# telnet buergerforum2011.de 80
Trying 81.20.85.137...
Connected to buergerforum2011.de.
Escape character is '^]'.
HTTP/1.0 502 Bad Gateway
Cache-Control: no-cache
Connection: close
Content-Type: text/html
502 Bad Gateway
The server returned an invalid or incomplete response.
Connection closed by foreign host.

Danke

Update 2:

Nach einem mir nun ermöglichten Gast-Zugang (Danke Tor!) stelle langsam aber sicher Veränderungen fest [...]: In Grafik 1 kann man den Unterschied zwischen nicht-eingeloggtem und eingeloggtem Seiteninhalt sehen. Es wurden bereits die Direktlinks zu den Profilen der Moderatoren entfernt. Trotzdem ist es nach-wie-vor möglich, über die Links (siehe Oben) auf die Profile zuzugreifen.

Das Zweite Bild zeigt den Sourcecode eines Profils.

Update3: Es wird weiter an der Seite gewerkelt. Das Zielpublikum ist um diese Uhrzeit natürlich nichtmehr online, darum kann man ja einfach mal direkt am Livesystem arbeiten und eine leere Seite an die Besucher ausliefern:

[00:52] <coresec> http://www.buergerforum2011.de/

[00:52] <coresec> ist die seite bei Euch auch leer ?

[00:52] <xor> ja

[00:52] <trash> sieht so aus

[00:54] <coresec> ok, danke

[00:55] <xor> bitte

Update 4: Dem Artikel wurden auf Wunsch von Herrn Staeck, Geschäftsführer der iQuer.net GmbH & Co. KG, einige Passagen hinzugefügt, um die an dieser Stelle erbrachte Leistung durch die iQuer.net GmbH & Co. KG klar darzustellen. (in dieser Farbe markiert).

Update 5 (10:30 Uhr): So wie es aussieht, wird es wohl noch Weile dauern bis das Forum wieder zu erreichen ist. Bereits seit über 11 Stunden offline.

Update 6 (10:38 Uhr): Das BuergerForum 2011 ist wieder zu erreichen. Wie vermutet, wurden erneut Änderungen vorgenommen. So ist es jetzt auch als eingeloggter Gast nichtmehr möglich, Profile direkt aufzurufen (auch nicht, wenn man den direkten Link s.O. nutzt).  Somit sollte klar sein, warum es diese Downtime gab

Weiterhin lassen sich jedoch nach-wie-vor die Bilder der Teilnehmer herunterladen. Diese sind auf der Website nach folgendem Muster hinterlegt:

http://www.buergerforum2011.de/site/pictures/project/authors/x.jpg
http://www.buergerforum2011.de/site/pictures/project/authors/x+1.jpg
http://www.buergerforum2011.de/site/pictures/project/authors/x+n.jpg

Update 7 (11:09 Uhr): Die scheinen meinen Blog im Liveticker zu haben. Jetzt wurden alle Bilder der Teilnehmer von den Servern gelöscht oder unzugänglich gemacht. Auf der Webseite tauchen auch keine Bilder mehr auf

Update 8 (11:40 Uhr): Soeben wurde ich überraschend von Herrn Hagedorn, Geschäftsführer der Demos angerufen. Dieser bat mich in dem Gespräch, meine Recherchen bezüglich der Möglichkeit zum Abgreifen der Nutzerdaten einzustellen, damit das Projekt “planmäßig am Mittwoch starten kann”. Da ich meine Intention ausreichend dargelegt habe, möchte ich diesem Wunsch gerne entsprechen und Wünsche allen Teilnehmern des BürgerForums 2011 eine erfolgreiche und spannende Diskussion und der Demos Gesellschaft viel Erfolg mit dem Projekt