Post by Juergen KahPost by Peter J. HolzerPost by Arno WelzelPost by Peter J. HolzerPost by Arno WelzelPost by Peter J. Holzer3. Wenn genügend Daten über viele Personen vorliegen, kann man einzelne
leicht anhand relativ weniger Kriterien identifizieren (sprich: Die
Menge der Kandidaten auf ca. 1 reduzieren).
Und das nur anhand nicht personenbeziehbarer Cookies?
Nein anhand der vielen Informationen, die damit verknüpft sind.
Und wie kommt man dann auf die Person dahinter - also die reale Person
nicht nur eine Nummer in irgendeiner Datenbank ohne jegliche Angabe
eines Namens?
Du misst hier dem Namen eine magische Bedeutung zu, die ihm nicht
zusteht. Der Name ist auch nur eines vielen Attributen, die eine Person
identifizieren. Es ist halt das, was wir im Alltag verwenden, aber es
eigentlich nichts besonderes. Ob Du als "die Person, die 25.4. um 9:32
nach X gesucht und anschließend auf Y geklickt hat" identifiziert wirst
oder als "eine Person, die mit Vorname Arno heißt und mit Nachname
Welzl", macht in der Praxis wenig Unterschied.
Ich bin voll deiner Meinung, Peter. Bei Arno ist das "Ziel" der
Sammelwut irgendwie noch nicht "deutlich" rübergekommen ;-)
Ich habe mehrere Webseiten und beobachte immer mehr, dass gleiche
(mittlerweile seltsame (*)) Zugriffe auf eine "öffentlich" bekannte
genauso auf die "öffentlich unbekannten" laufen. Nicht nur einmalig,
sondern gehäuft.
Es gibt keine "unbekannten" IP-Adressen. Der IPv4-Adressraum bietet
Platz für ca. 3.8 Milliarden Adressen. Das kann ein einzelner Rechner
mit einer Gbit-Anbindung in ca. 1 Stunde abgrasen.
Da es also einfach und billig ist, dauernd das gesamte Internet zu
scannen, tun das auch viele Leute. Manche nur um allgemeine Statistiken
zu sammeln (wieviele von den 3.8 Mrd. Adressen existieren, wieviele
davon sind Webserver, Mailserver, ...). Manche für legale kommerzielle
Zwecke, und manche, um Sicherheitslücken zu finden.
Post by Juergen KahInteressant ist, dass etliche IPs der Zugreifer häufiger zum gleichen
"Absender" führen... via unterschiedlichster IP-Ranges.
Eine Folge der Adressverknappung. Wer in den letzten 15 Jahren einen
steigenden Bedarf an IP-Adressen hatte, hat immer kleinere und mehr
Adressbereiche zugeordnet bekommen. Es ist also nicht ungewöhnlich, dass
eine Organisation viele relativ kleine Adressbereiche hat statt einem
großen.
(Außerdem gibt es natürlich Botnets, aber da bezweifle ich eher, dass Du
in der Lage bist, den "Absender" festzustellen - bestenfalls merkst Du,
dass sie sich gleich verhalten)
Post by Juergen KahUnd... gleiche Static-IPs kommen mit hunderten verschiedener
Agent-"Namen" ;-)
Auch eine Folge der Adressverknappung. Es gibt schlicht nicht mehr genug
Adressen für alle Geräte, als wird auch auf Providerebene mit NAT,
Proxies, etc. gearbeitet. Es kann leicht sein, dass alle Benutzer eines
Mobilfunkbetreibers über eine Handvoll IP-Adressen bei Dir aufschlagen.
Post by Juergen KahAbgesehen von Webseiten, auch wenn ich mich neu einwähle (hab dyn IP
beim Provider) dauert es nicht lange, bis sogar im Router-Log gleiche
IP-Ranges mit vielen PINGs und/oder Portscans auftauchen wie bei meiner
vorherigen IP.
Wie gesagt, es gibt viele Leute, die dauernd *alle* Adressen scannen.
Sobald Du eine IP-Adresse hast, wirst Du gescannt. Niemand muss wissen,
ob Du vor einer Stunde eine IP-Adresse hattest und wenn ja, welche. Du
hast jetzt eine IP-Adresse, also wirst Du gescannt.
Post by Juergen KahWarum? Ich gehe davon aus, weil ich auf Webseiten auch mit deny arbeite
und sich dadurch evtl jemand interessiert, ob bei mir was zu holen sein
könnte (hab aber keine Tauschbörse, Bilder, Videos usw).
Nein, damit hat das nichts zu tun. Den Webserver wirst Du wahrscheinlich
ja nicht an der dynamischen IP-Adresse betreiben, also besteht da für
Scanner kein Zusammenhang.
Post by Juergen KahBedeutet für mich, "man" kennt schon alle "meine" IPs, die ja nicht sooo
zahlreich sind, weil der Provider für meinen Wohnort samt grösserer
Umgebung halt auch nur aus ein paar wenigen IP-Ranges zuteilt. Das im
Zusammenspiel mit der Browser-Plauderei...
"Man" kennt einfach alle IPs. Dass eine davon zu einem bestimmten
Zeitpunkt Deine ist, interessiert diejenigen, die solche Scans machen,
nicht. (Ich kann nicht ausschließen, dass irgendjemand gezielt
Sicherheitslücken in deinem Rechner sucht, aber das geht im Rauschen
unter. Und die meisten Angriffe auf ein Clientsystem siehst Du sowieso
nicht im Router-Log).
Post by Juergen KahIPs werden eh überall gespeichert, ich gehe davon aus, auch alles was
ein Browser ausplaudert. Soo viele Browser hab ich aber auch nicht zum
"Verwirren" ;-)
Und... die vielen Tracker, die auf besuchten Webseiten rumschnüffeln,
werden sicher auch viel speichern... sogar bei c't sind inzwischen
etliche aus .us tätig.
Das _Ergebnis_ merke ich aber: selbst bei IP-Neuzuteilung werden
"zuletzt" aufgerufene Dinge bei Amazon, Google-Store und anderen Stores
mehr oder weniger schnell als Werbung plaziert ("könnte Sie interessieren").
Cookies. Plus eventuell Browser-Fingerprinting.
Post by Juergen Kah(*)
Beispiel für "seltsame" Zugriffe auf meherere Webseiten
"GET /sysadmin/fckeditor//editor/filemanager/browser/default/connectors
/php/connector.php?Command=GetFolders&Type=File&CurrentFolder...
"GET
/admin/fckeditor//editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFolders&Type=File&CurrentFolder...
in zig Variationen, viel .us, .cn, .ua, .fr, .th
Ja, da sucht offenbar jemand nach einer Sicherheitslücke.
Du bringst da ziemlich Kraut und Rüben durcheinander.
Auf der einen Seite gibt es die Suche nach Sicherheitslücken in
vorhandener (Server-)Software. Das ist das, was Du in den Server-Logs
und zum Teil auch in Deinen Router-Logs siehst.
Auf der anderen Seite gibt es die Bemühunngen diverser
Service-Betreiber, ihre Besucher möglichst treffsicher zu
identifizieren, entweder um denen ein besseres Service zu bieten (und
sie damit zu besseren Kunden zu machen), oder um die Daten
weiterverkaufen zu können.
Post by Juergen Kah2012 war mir aufgefallen, dass beim Schreiben einer "persönlichen
Nachricht" an einen anderen Facebooker der eingetippte Text _online_ von
FB gescannt wurde. Ich wollte den URL meiner "öffentlichen" Webseite
mitteilen. Ich hatte aber die Nachricht aufgrund eines Hinweises meines
FF "abgebrochen", und neue Nachricht mit einer aus meiner Sicht
"unverständlichen" URL an den Empfänger geschickt ;-)
Abends finde ich genau zu besagter Zeit Zugriffe von FB
(facebookexternalhit) tfbnb.net.
Also online URL-Prüfung, nicht schlecht.
Naja, wer Facebook verwendet, ist selber schuld.
Ich glaube ich kann mich daran erinnern, dass das hier diskutiert wurde.
Ich weiß nicht mehr, ob es eine Conclusio gab, wozu FB das macht, aber
ein paar plausible Gründe wären z.B.:
* Tippfehler-Check: Existiert der URL überhaupt?
* Malware-Check: Ist dort Malware?
* Vorschau: Der Empfänger bekommt eine Vorschau der referenzierten Seite
* Information über Benutzer: Der Inhalt der Seite interessiert offenbar
zumindest den Absender und wahrscheinlich auch den Empfänger. Also
kann FB das zu beiden hinzufügen und in Zukunft verwenden (z.B. für
Filter, Werbung, ...)
hp
--
_ | Peter J. Holzer | Fluch der elektronischen Textverarbeitung:
|_|_) | | Man feilt solange an seinen Text um, bis
| | | ***@hjp.at | die Satzbestandteile des Satzes nicht mehr
__/ | http://www.hjp.at/ | zusammenpaßt. -- Ralph Babel
