Also wenn ihr mich fragt, dann zerstört sich das StudiVZ gerade selbst. Es ist jetzt schon seit weit über 24h down und heute kommt dann noch eine Meldung in der sich unter anderem folgendenes findet: “Wir haben deshalb die Zeit auch genutzt, um ein Testsystem zu installieren. Das Testsystem enthält fiktive Daten. Erstmal werden wir das “echte” studiVZ System nicht online stellen.”.
Tja Leute, das war’s dann wohl. Ich meine von sicherheitstechnischen Aspekten ist es natürlich sinnvoll ein Testsystem aufzusetzen und das Orginalsystem erstmal nicht wieder online zu nehmen, aber werden das auch die ganzen Studenten sinnvoll finden? Oder werden die vielleicht zu einem Dienst mit fähigerem Management und weniger Sicherheitslücken abwandern?
Internet
StudiVZ – Wie einfach sich die Profile kopieren lassen
Die Frage beim StudiVZ ist ja: Werden die Betreiber persönliche Daten weitergeben oder nicht. Ich persönlich traue den Beteuerungen der dortigen Verantwortlichen nicht und warte eigentlich nur auf einen größeren Skandal.
Aber selbst wenn die Daten bei Ehssan Dariani & Co. gut aufgehoben sind: Inwiefern ist es denn als einfacher Nutzer möglich die Profile zu “sammeln”? Dieser Frage ging ich vor einer guten Woche einmal nach. Erfreulicherweise hatten sich zwei Studenten des MIT, Harvey Jones und Jose Hiram Soltren, schon bei Facebook die gleiche Frage gestellt und im Rahmen eines recht umfangreichen Papers beantwortet. Mein Ziel war es nun die Erkenntnisse wie man die Profile am besten herunterladen kann auf das StudiVZ zu adaptieren. Heraus kam ein dreizeiliger Shellskript der, einmal losgelassen, rekursiv die Profile des StudiVZ durchsucht und als komplette Seiten herunterlädt. Um ein möglichst gutes Startprofil zu haben wählte ich das von Ehssan Dariani. 😉
Es stellte sich heraus dass es möglich war innerhalb kürzester Zeit tausende Profile herunterzuladen. Und das obwohl das StudiVZ statt fortlaufenden IDs für die Profile (wie es etwa Facebook macht) bis zu sechsstellige Buchstaben-Zahlen-Kombinationen verwendet. Hinter deren Erstellung steckt zwar sicher auch ein System, aber dieses zu suchen erwies sich als unnötig, da allein durch die Verlinkungen der Profile untereinander, genügend Links zu neuen Profilen bereitstanden.
Die heruntergeladenen Dateien müsste man dann noch analysieren, wobei man die Skripte dazu aus dem obengenannten Paper nehmen kann. Da das StudiVZ ja bekanntlich optisch eine nahezu 1:1-Kopie von Facebook ist, müsste man an den Skripten auch nicht mehr wirklich viel ändern.
So, was schließen wir aus der ganzen Sache: Selbst wenn die StudiVZ Ltd. verantwortungsvoll mit den Daten umgeht so sind sie doch noch lange nicht sicher.
Also sollte sich jeder gut überlegen was er da für Daten angibt.
Schönheitsideale überhaupt realistisch?
Ah, grade noch was bei BloggingTom entdeckt: Wie war das mit dem “natürlichen” Schönheitsideal?
Ms. Dewey
Heute geht’s eine Suchmaschine. Und nicht um irgendeine, sondern um die von Microsoft. Wäre alles nicht so spannend, hätte Microsoft nicht ein alternatives Frontend dafür. Das bzw. Sie nennt sich Ms. Dewey und ist ein sogenannten Avatar. Statt nur einfach Suchanfragen einzutippen wird man also fortlaufend von Ms. Dewey mit netten Sprüchen unterhalten. Dies macht auch den eigentlich Eindruck dieser Webseite aus, denn die Präsentierung der Suchergebnisse ist kaum brauchbar. Viel witziger ist es hingegen nach und nach mitzukriegen was für Sprüche und Aktionen Ms. Dewey so alles draufhat. Was wird jetzt hier nicht verraten, aber im Gegensatz zu anderen Avataren, wie dem von Yello Strom hat Ms. Dewey doch bedeutend mehr Sprüche zu bieten.
Also alles in allem eine nette Spielerei, die in dieser Hinsicht, von Microsoft auch sehr nett umgesetzt wurde. Als Suchmaschine allerdings vollkommen unbrauchbar, zumal Ms. Dewey auch einen Moment braucht um die Ergebnisse zu präsentieren.
StudiVZ-Ungereimtheiten erreichen Massenmedien
SPON griff heute im Laufe des Tages die aktuellen Entwicklungen rund um das StudiVZ in einem ausführlichen Beitrag auf. Darin werden die meisten Sachen angesprochen.
In Anbetracht dessen werde ich auch vorerst keinen Artikel zu Ehssan Dariani schreiben, sondern verweise auf den Artikel bei SPON. Aber mal schauen was sich die Betreiber des StudiVZ in nächster Zeit noch so leisten.
Studivz – Fakten
So, ich gebe zu ich habe mir für heute etwas größeres vorgenommen. Genauergenommen soll es eine umfangreiche und dennoch leicht lesbare Zusammenfassung sämtlicher, in meinen Augen, relevanten Hintergründe und Verfehlungen des StudiVZs sein.
Bisher habe ich hier in diesem Blog zwei Einträge geschrieben, die sich schon auf irgendeine Art und Weise mit dem StudiVZ beschäftigten. Der Erste stellte meine persönliche Meinung zu solchen Diensten generell dar. Ich gebe offen zu ich mag sie nicht. Warum, findet sich in diesem Artikel.
Der zweite Artikel stellte schon einige unangenehme Seiten des StudiVZs und dessen Gründers Ehssan Dariani dar. Inzwischen bin ich auf Unmengen weiteren Materials gestoßen, welches das StudiVZ für mich in einem noch schlechteren Licht als bisher erscheinen lässt.
Dieses Material will ich nun hier zusammentragen. Ich will dies in Form von Thesen und Argumenten tun. Dies ist meiner Meinung nach bei einer solchen Menge von Informationen die übersichtlichste Art der Darstellung.
Das StudiVZ ist eine bloße Kopie der amerikanischen Seite Facebook
Facebook, die größte amerikanische Social-Community-Site für Schüler und Studenten entstand Anfang 2004 und wurde recht schnell sehr erfolgreich. Gegen Ende 2005 startete im deutschsprachigen Raum das StudiVZ, gegründet von den beiden Studenten Ehssan Dariani und Dennis Bemmann. Wenig später stieß noch Michael Brehm zu den beiden. Zu Zeitpunkt der Gründung hatte Ehssan Dariani 25.000 Euro Schulden. Sicher auch ein Grund einen Ableger eines solch erfolgreichen Web2.0-Dienstes zu starten. Was dabei herauskam war eine nahezu 1:1 Kopie der Facebook-Seite. Auch die versprochenen “mind blowing cutting edge Innovationen” sind, soweit ich das beurteilen kann, bisher auch ausgeblieben.
Das StudiVZ ist nur auf die persönlichen Daten der Nutzer aus
Auch wenn das StudiVZ in seiner Datenschutz-Verpflichtung behauptet die persönlichen Daten der Nutzer nicht weiterzugeben und sich auch an die strengen deutschen Datenschutzrichtlinien zu halten, so spricht doch der Pressesprecher des StudiVZs, Tilo Bonow, welcher vorher auch schon Jamba in PR-Fragen betreute, eine ganz andere Sprache: “Klar geht es um die Nutzerdaten. Sonst macht das Ganze doch keinen Sinn, das ist doch klar.“. Sollte das StudiVZ einmal Geld verdienen wollen wird man wohl nicht um Werbung herumkommen. Und was bietet sich da mehr an als kontextbezogene Werbung, wenn die Nutzer sowieso schon seitenweise persönliche Daten freigeben? Und selbst wenn sich die StudiVZ-Besitzer an diese Richtlinien halten. Sollte das StudiVZ früher oder später einmal ins Ausland verkauft werden dürften diese Richtlinien wohl auch hinfällig werden. Zumal laut Datenschutz-Verpflichtung sowieso jederzeit ein ändern ebendieser vorsehen. Aber moment mal. Ist StudiVZ überhaupt ein deutsches Unternehmen? Siehe nächster Punkt.
StudiVZ – eine Briefkastenfirma?
Guckt man in das Impressum des StudiVZs, dann sieht man dass da etwas von wegen “StudiVZ Ltd.” steht. Eine Ltd. ist ja bekanntlich eine Aktiengesellschaft in Großbritannien. Fragt sich bloß warum es keine “StudiVZ GmbH” ist. Denn prinzipiell ist es ja eine deutsches Unternehmen. Damit stellt sich die Frage inwieweit denn dieses Getue mit den strengen deutschen Datenschutzrichtlinien überhaupt einen Hintergrund hat, aber dies sei einfach mal so im Raum stehengelassen. Denn die Frage ist ja immernoch: Warum Ltd.? Man könnte natürlich annehmen dass die StudiVZ-Gründer dies in Anbetracht der gerinigeren Kosten gegenüber einer GmbH und Plänen ins Ausland zu expandieren einfädelten, da sie sich mit der Form einer Ltd. die wenigsten Probleme diesbezüglich erwarteten. Moment. Ausland? Probleme? Da war doch was. Inzwischen gibt es Ableger des StudiVZs in Spanien, Frankreich und Italien. Laut den jeweiligen Impressums gibt es in jedem dieser Länder auch ein Büro des StudiVZs. Wie an anderer Stelle schon zusammengetragen wurde, arbeiten aber anscheinend die Mitarbeiter dieser Büros alle in Berlin und die Adressen verweisen auf Büros von Parship. Parship? Wieso Parship? Ganz einfach: Sowohl an Parship, als auch am StudiVZ beteiligt sich eine gewisse Holtzbrinck Ventures. Für die wäre es natürlich auch durchaus attraktiv wenn die Nutzerdaten von StudiVZ irgendwie zu Parship fließen würden. Würde eine Menge neuer potenziellerKunden bringen, die ja sogar im StudiVZ ihren Beziehungsstatus angegeben haben.
Soviel erstmal zum StudiVZ. Sucht man im Internet ein bisschen findet man sehr viel weiteres Material zu dem Thema. Das alles aufzuarbeiten würde wahrscheinlich wochenlang dauern. Ich habe mich dazu entschlossen Ehssan Dariani in den nächsten Tagen einen eigenen Artikel zu widmen, denn der Typ ist nochmal ein Thema für sich. Ich hoffe meine Ausschweifungen sind nachvollziehbar. Sollte jemand Fehler entdecken bin ich über entsprechende Kommentare sehr dankbar. Natürlich freue ich mich auch generell über eine rege Diskussion.
Studivz – Hintergründe
Eigentlich wollte ich ja schlafen gehen, aber dann stieß ich dank Was war. Was wird auf ein paar interessante Sachen zum Thema Studivz.
Ist ja ein tolles Unternehmen und so. Wie hier beschrieben finde ich das Konzept zwar nicht toll, aber das Unternehmen scheint ja aus lauter Gewinnern zu bestehen. Immerhin schon über 900.000 Mitglieder. Das sind doch mal Nutzerzahlen mit denen man so richtig schön angeben kann.
Umso peinlicher wenn es einer der Studivz-Gründer anscheinend nötig hat Mädels in der U-Bahn zu belästigen. Irgendwer hat natürlich mal wieder schnell reagiert und das Video wurde bei Youtube entfernt. Macht aber nichts, das gibt’s dort auch nochmal. 😀
Dass Ehssan Dariani, von dem wir eben gerade sprachen, dann auch noch sehr fragwürdige Blogeinträge ins studivz-eigene Blog setzt, deren Inhalt schon so langsam an Zensur grenzt ist dann auch nochmal eine andere Sache.
Und die Frage wie ein solcher Dienst überhaupt irgendwann mal Geld verdienen will steht ja dann auch noch im Raum. Eine sehr schöne Erklärung dazu findet sich unter folgendem Link: Verletzlichkeit der Geschäftsmodelle im Web2.0.
Aber doch: ein tolles Unternehmen. Scheinen ja auch recht reife Leute dahinterzustehen …
Wie gut dass ich bisher kein Studivz-Nutzer geworden bin, denn diese Erkenntnisse bestätigen mich nur wieder in meiner Meinung keiner dieser Nutzer sein zu wollen.
Starhack
Puh, so lange sollte mein heutiger Abend eigentlich nicht werden. Aber nun gut, ist halt nun mal so. Jedenfalls bin ich nun zufriedener als vor beispielsweise vier Stunden.
Heute gegen 18:30 Uhr begann jemand meinen Server zu hacken. Mit Erfolg! Ich bemerkte es durch Kommentare anderer gegen 19:30 Uhr. Sämtliche Startseiten waren durch eine andere Startseite ersetzt worden auf der zu lesen war dass dieser Server gehackt wurde.
Ich hab natürlich gleich erstmal Panik gekriegt, alle nicht lebensnotwendigen Dienste runtergefahren und mich daran gemacht in den vielen, vielen Logs danach zu suchen
1. wie der Hacker bei mir einbrechen konnte
2. wer das überhaupt war und
3. was er alles manipuliert und ausgelesen hat.
Bevor ich jetzt hier stundenlang erläutere wie alles ablief hier nur eine kurze Beantwortung der obigen Fragen:
1. durch einen Bug in dem von mir verwendeten Serververwaltungstool vhcs, durch den es möglich war einen neuen Benutzer mit Administratorrechten, für vhcs, zu erstellen ohne selbst welche zu haben.
2. es mag komisch klingen, aber: ein Skript-Kiddie aus der Türkei mit dem Pseudonym “Starhack”. Insofern hat er sich auch damit begnügt die Passwörter zu ändern und die Startseiten auszutauschen. Viel mehr hätte er sicher sowieso nicht draufgehabt.
3. im Endeffekt weniger als erwartet. Sie haben sich zwar via FTP eingeloggt, aber bis auf eine Ausnahme nur die Startseiten ausgetauscht. Die eine Ausnahme war eine rumliegende Datei namens acc.txt. Wahrscheinlich vermuteten sie darin irgendwelche Passwörter. Was war im Endeffekt drin? Ein Counterstand in Form einer vierstelligen Zahl. Des weiteren hatten sie noch Zugriff auf das Webfrontend von vhcs und konnten somit lesen wer meine Kunden sind. Viel mehr dann aber auch nicht. Insofern war’s für mich auch recht einfach das Ganze wieder in Ordnung zu bringen.
Es hat trotzdem alles seine Zeit gedauert und na ja, jetzt ist’s auch schon wieder spät.
Serverausfall
Wie sicher schon die meisten mitgekriegt haben war diese Seite aufgrund eines Serverausfalls, genauer gesagt eines Ausfalls der Festplatte für einige Tage nicht erreichbar.
Dummerweise schien die Platte schon länger eine macke gehabt zu haben, sodass das Programm was eigentlich die Backups machen sollte beschädigt wurde und die Backups nicht mehr korrekt durchgeführt werden konnten. Allerdings konnte ich schnell noch ein Backup machen. Insofern dürften glücklicherweise außer ein paar mehr oder weniger unwichtigen Konfigurationsdateien keine Daten verloren gegangen sein.
Aber was ich mir merken muss: Es reicht nicht Backups zu machen, man muss auch überprüfen inwiefern diese korrekt durchgeführt wurden.
Wenigstens hab ich so gleich mal die Möglichkeit ein bisschen Software auf den neusten Stand zu bringen.
Nun ja, ab sofort bin ich dann also wieder da.
katja5
Eigentlich wollte ich mir ja sparen zum Thema katja5 was zu schreiben, aber da das Ganze so langsam die Massenmedien erreicht muss ich das einfach mal tun.
Ok, ich fang mal ganz am Anfang an. Vor einer Weile rief RTV einen Wettbewerb namens “Titelgirl 2006” aus, bei dem sich junge Frauen bewerben konnten, über die dann die Besucher der Homepage abstimmen konnten. Die zehn Bewerberinnen mit den meisten Stimmen sollten in einen Entausscheid kommen der via SMS-Voting funktioniert. Der Gewinnerin dieses Entausscheides winkt, wie der Name des Wettbewerbs schon sagt, ein Foto auf dem Titelbild der RTV, sowie ein Fotoshooting und eine Gastrolle in der Soap „Julia – Wege zum Glück“. Der Vorausscheid läuft noch bis zum Ende des heutigen Tages, aber die ganze Aktion hat schon das Interesse von tausenden von Leuten auf sich gelenkt.
Wie? Ok, nächster Faden:
Ich spiele schon seit ewigen Jahren ein Onlinespiel namens X-Wars, auch darum weil dessen Community ziemlich klasse ist. Einer aus dieser Community (huenne) klickte sich fröhlich durch den Katalog von Frauen die bei RTV zur Wahl standen und stieß dabei auf katja5 und wunderte sich, im IRC, darüber was sich doch für Leute bei so einem Wettbewerb bewerben. Ein anderer aus dieser Community, Hamari alias Weberameise (übrigens in der gleichen Ally wie ich), kam dann auf die Idee diese junge Frau katja5, die ja garnicht dem gängigen Schönheitsideal entspricht auf Platz 1 zu voten. Dazu wurde ein Beitrag im X-Wars-Forum eröffnet, der sofort von vielen anderen X-Wars-Spielern begeistert aufgenommen wurde. Diese trugen diese Aktion dann in divsere andere Communities und Onlinespiele und es entwickelte sich ein regelrechter Katja-Hype. Inzwischen gibt es Fanseiten, Blogs, ein Musikvideo, uvm..
Das das natürlich nicht unbemerkt an der Presse vorbeigehen konnte zeigte sich heute mit einem ersten Artikel auf Telepolis und ich bin mir sicher, wenn Katja in den Entausscheid kommt und diesen vielleicht sogar noch für sich entscheidet, dann wird das noch weitere Kreise ziehen.
Es gibt natürlich nicht nur Zustimmung sondern auch durchaus kritische Stimmen, ob das Ganze nicht ein Fake sei und wenn nicht, was denn die arme Katja da nun denken würde, usw.. Ich selbst habe diese Aktion auch mit einem kritischen Auge gesehen und kein einziges Mal für katja5 gevotet. Allerdings gibt es Katja wirklich und sie findet das Ganze so wie es momentan läuft auch recht gut, wie man in einem Interview mit ihr nachlesen kann.
Was ich so faszinierend an der ganzen Aktion finde ist nicht die Aktion selbst, sondern das ich von Anfang an so unmittelbar dabei war und die Entwicklung verfolgen konnte. Das Ganze zeigt wieder einmal, dass Internetnutzer eine ungeheure Macht haben, wenn sie denn nur wollen …