Archiv für September 2009

Twitter und das Erstellen von Persönlichkeitsprofilen

Dienstag, 29. September 2009

Mit ist folgendes passiert:

Ich habe einen Twitter Account und poste fröhlich meine Zuneigung zur Piratenpartei. Da bekomme ich letztens eine Nachricht, ob ich nicht in München Trudering Plakate aufhängen will. Zu dem  twitternden Piraten hatte hatte ich jedoch vorher nie Kontakt. Wieso kommt er also gerade auf mich und weiß das ich Münchner bin.

Ich könnte mir folgendes Senario vorstellen. Die Piraten haben einen Bot, der das Hashtag #Piraten liest und die Tweets der enntsprechenden Personen nach Schlagwörtern wie in meinem Fall Ortsnamen indiziert. Damit ist es dann leicht Piraten in München zu finden.

Ich hab mir mal die API von Twitter angeschaut, da ist es ohne Probleme möglich die letzten 3200 Tweets einer Person in 200er Blöcken zu holen. Das ganze bekommt man dann als XML, JSON oder einen ähnlichen Format, das sich sehr einfach auswerten lässt.Welche persönlichen Informationen kann man damit jetzt über eine Person mittel Twitter API herausbekommen ?

Spontan fällt mir ein:

  • Zu welchen Zeiten wird gepostet vor/nach/während der Arbeit oder doch Immer
  • Welche Hashtags werden wie oft gepostet (TagCloud)
  • Indizierung weiterer Schlagwörter (Sex, Freundin, Kneipe etc..)
  • Welche Clients werden verwendet Web/Telefon/Mac Client/Windows Client
  • Nutzt er Dienste wie  TweetPic
  • Popularitätsindex (wie oft wird die Person mittels @ erwähnt)

Ich kann mir vorstellen, das man da einiges über die eine Person erfahren kann.

bookmark bookmark bookmark bookmark

Abgelegt in Allgemein, NetzPolitik, Security | Keine Kommentare »

Distributed Worldscan — Ist das Legal?

Dienstag, 29. September 2009

Traue nur Statistiken die die selbst gefälscht hast. Frei nach diesem Motto habe ich mir überlegt, ob man nicht mal alle IPs die IPv4 zu bieten hat auf Port 80 abzufragen und falls ein Webserver auf dieser IP läuft sich die Http Header geben zu lassen. Damit kann man dann endlich eine qualifizierte Aussage machen welcher Webserver wo und vor allem wie viel eingesetzt wird.

Das man das in vernünftiger Zeit nicht selbst machen kann leuchtet glaube ich ein. Bei den ersten Tests habe ich ein B-Class Netz mit relativ wenigen Webservern gescannt. Dabei hatten ca. 15% der gescannten IPs einen Dienst auf Port 80 laufen. Dieser Scan hat ca. 2h gedauert. (Das geht wenn man aggressiver vorgeht sicherlich auch noch deutlich schneller) Bei dieser Geschwindigkeit braucht der WorldScan jedoch ca. 5500 Tage! Daher wäre ein distributed Scan das einzige Mittel um an in vernünftiger Zeit an die Daten zu kommen.

Eine entsprechende Software ließe sich wenigen Tagen schreiben. Es bleibt jedoch die Frage der Legalität! Ist es legal bei Millionen von IP`s an Port 80 zu klopfen und bei positiver Rückmeldung die index.html auszuwerten. Immerhin erhält man mit dem Worldscan eine riesige Datenbank mit Informationen die unter anderem auch zur Angriffsvorbereitung genutzt werden könnte. Damit können Mächte die einem Böses wollen den Hackerparagraphen ins Spiel bringen. Außerdem kann der Scan vom ISP als DOS Attacke auf die eigenen Router gesehen werden.

Ist es legal einen eigenen Web index aufubauen? Oder wird das als Anfriff bzw. Angriffsvorbereitung gewertet wenn man anders als bei Google nicht über Links “Surft” sondern aktiv einen Server nach dem anderen abklopft?

bookmark bookmark bookmark bookmark

Abgelegt in Allgemein | Keine Kommentare »