vor einiger zeit startete ich ein kleines projekt. dieses hatte die aufgabe, als bild eingebunden in einer signatur den jeweiligen besuchern id's zu zu weisen.
jeder besucher des threads, posts usw... besucht wuerde dabei mit seinen aufrufinfos (ref, id, ip, browser... etc.) in eine db eingetragen und jeweils seiner id
zugewiesen. so kann man mithilfe der datenbank nutzer identifizieren, ips ueber laengeren zeitraum kontrolloieren um auf rl durchgaenge oder anomalien etc. zu
warten, das nutzerverhalten studieren (z.b. auf welchen seiten/boards ist die person aktiv), ip's den nutzernamen zuweisen etc.. und das ganze natuerlich website
uebergreifend. das projekt welches ich programmiert und aufgesetzt habe war dementsprechend im grunde ein webbeacon logger, wie man es von google, shops wie
amazon usw. kennt. doch um eine aktuelle und große datenbank zu erhalten war es selbstredend noetig helfer beim verteilen der signaturen mit ins boot zu holen.
diese helfer (zwei an der zahl, reichten schon vollkommen aus) haben nun aktiv auf den einschlaegigegn adressen gepostet und sich am boardgeschehen beteiligt.
so wurde die db immer groeßer und zuverlaessiger, bis es dann endlich soweit war und man nahezu jeden auch nur halbwegs aktiven nutzer verfolgen konnte.
zu erst wurden die siganturen nur auf den typischen und allseitsbekannten fraud & maleware/blackhat boards eingebunden, quasi dem grundsaetzlich als kriminell
einzustufenden bereich der "scene". es war geplant, das system auf weitere adressen aus zu weiten... nunja, ich musste das projekt vorzeitig einstampfen, denn
momentan kursiert wieder einmal das "whitelist fieber" was gewohnheitsgemaes nicht laenger als ein oder zwei jahre anhaelt... schuld daran ist ein mehr als
unvorsichtiger helfer, der nun als cranky die cnw mods anscheist ( ). ok es zeigt die macht des programms und der db, das ist gut! allerdings
geschah das ohne absprache und zu einem taktisch ziemlich schlechten zeitpunkt fuer eine wirkunsgvolle veroeffentlichung der db... aber weiter im text: der sinn
des projekt lag darin leechern die dinge aus z.b. dem 2.lvl stehlen und public machen identifizieren zu koennen um sie aus dem second lvl zu schmeißen, eine
statistik ueber die scene erstellen zu koennen usw.. durch die einstellung des projekts wurde dieses allerdings mittem im geschehen unterbrochen. und so kam es
das einige boards das fieber schon 3 tage vor dem letzten backup erreicht hat. dennoch, sind die erbeuteten informationen extrem als aussagekraeftig!
folgende foren dienten der statistik:
http://crimenetwork.biz/
wobei folgende boards zur erweiterung auf den grayhat bzw. normalen hackerground genutzt werden sollten. diese foren waren also nicht im sinne des grundsaetzlich kriminellen
opferbereichs gedacht. dennoch gab es auch hier gehackte accounts und agenten in deren signaturen der beacon logger eingebunden wurde. somit befinden sich auch die nutzer
dieser foren in der datenbank:
nun zur statistik, leider habe ich nur noch ein backup vom 14.01 und eines vom 20.01. das vom 14 ersten ist natuerlich nicht ausgesprochen aktuell und verfuegte noch ueber
vergleichsweise kleine kleine besucerhzahlen. das vom 20.01 ersten wiederum wurde nach den maßnahmen zur verhinderung des webbeacon loggens (also whitelisten) gemacht.
aller 5 tage wurde das log bereinigt (nutzer die seit mindestens 5 tagen nicht mehr erfasst wurden, wurden geloescht). und so hat das backup vom 20.01 viele nutzer nicht mehr
inne, die dennoch verfolgt werden konnten und mit rl ip aktiv waren. dennoch moechte ich mich bei der statstik auf das backup des 20.01 beziehen. auch wenn hier einige foren
schon seit 3 tagen keine beacons mehr inne hatten und die db nach 5 tagen bereinigt wurde (die zwei tage verbleibende resteintraege reichen aus).
zur statistik:
in der regel waren 230-280 nutzer pro tag aktiv. das hat die datenbank ermitteln koennen. anders ausgedrueckt. pro tag waren also durchschnittlich 255 nutzer aktiv.
wobei eine fehlerquote von 9-16% aller eintraege als dunkelziffer betrachtet werden muss. diesen umstand erhaelt man (wenn man es nachlesen will) unter anderem aus
dem back vom 14.01.2014 (16%). im spaeteren verlauf der datenbank sank die durchschnittsquote auf 9% (deshalb 9-16%). aber spaeter mehr zur fehlerquote. sehen wir
uns zunaechst die allgemeine statistik zu den ip's aller besucher an:
606 DE 40 NL 31 AT 28 RO 24 US 24 CH 18 SE 16 LU 15 RU 12 A1 10 FR 8 GB 7 ?? = ip's fuer die im geoscript kein eintrag vorlag (nich schlimm, kann schonmal vorkommen) 6 UA 6 HU 4 PL 3 VN 3 EG 3 LV 3 BR 3 ES 2 NO 2 AL 2 LT 2 DO 2 MD 2 BA 1 PA 1 FI 1 CY 1 IE 1 HR 1 MN 1 BZ 1 IL 1 TR 1 SK 1 IR 1 PK 1 EU 1 CA 1 DK 1 EE
ok, das ist doch vielsagend. offenbar benutzen 67% aller nutzer eine deutsche ip. von einem brauchbaren vpn oder aehnlichem kann hier also absolut keine rede mehr sein.
aber weiter im text: diese aussage ist natuerlich vorerst nur allgemeiner natur, da es sich hierbei um eine gesamtstatistik der db vom 20.01.2014 handelt. gehen wir etwas
tiefer und sehen berechnen einmal die fehlerquote und die verfolgung der nutzer. wie gesagt liegt der (durchschnittlich) maximal nutzerwert bei 300. dementsprechend kann
man gut und gern schlussfolgern, dass es auf den betroffenen boards insgesamt 300 verschiedene nutzer gibt die mindestens einmal am tag mindestens eines dieser boards besuchen.
die scene, auf grundlage dieser boards hat dementsprechend ~300 mittglieder. ...irgendwie haette man da mehr erwartet?.png' class='bbc_emoticon' alt='^^' /> jedenfalls, ich nehme nun den wert von 300 und gebe ihm die
zum ende typische fehlerquote von 9%. diese 9% ziehe ich jetzt von den 300 ab um eine realitischere zahl der nutzerschaft diesem teiles der scene zu erhalten. und als ergebnis kommt
natuerlich 273 raus. interessanterweise konnte am 20.01.2014 272 nutzer mindestens eine stunde lang verfolgt werden! unheimlich, so eine extrem nahe zahl an der vorherigen berechnung:
148 DE 19 NL 15 RO 14 AT 12 LU 11 CH 9 US 7 SE 6 RU 4 HU 3 A1 3 FR 2 LT 2 GB 2 ?? 2 MD 1 IL 1 LV 1 DO 1 MN 1 UA 1 IR 1 BR 1 VN 1 BZ 1 EU 1 PA 1 PL 1 CY
und auch hier wieder 54% aller verfolgten nutzer hatten eine deutsche ip. wobei tatsaechlich 272 nutzer von durschnittlich 273 oder ohne fehlerquote 300 verfolgt werden konnten.
das entspricht unter verwendung der 300 eine verfolgungseffizienz von 90,66%. eine verdammt hohe zahl wenn man einmal bedenkt, dass diese 90% dieses bereichs der scene kreditkarten
betrug betreibt, trojaner spreadet usw.. es ist also moeglich ueber 90% der scene eindeutig ihre aktivitaet auf diesen foren nach zu weisen. und wiederum 54% von diesen kann
auf anhieb eine deutsche ip zugeteilt werden, weiteren 5,15 eine oesterreichische, 4,04 eine schweizer ip...
ok, sehen wir uns nun noch die vervolgungsstatisken fuer mindestens einen tag, min. 2 tage und min. 3 tage verfolgung an.
insgemsant: 224 ohne einberechnung der fehlerquote: 74,66% mit einberechnung der fehlerquote: 82,05% 116 DE 18 NL 13 RO 10 LU 10 CH 9 AT 8 US 6 SE 5 RU 4 HU 3 FR 3 A1 2 LT 2 ?? 2 MD 1 LV 1 IR 1 IL 1 DO 1 PL 1 CY 1 UA 1 BZ 1 EU 1 BR 1 GB 1 PA 1 MN
mindestens 2 tage:
insgemsant: 197 ohne einberechnung der fehlerquote: 65,66% mit einberechnung der fehlerquote: 72,16% 96 DE 16 NL 10 RO 9 CH 9 LU 9 AT 8 US 6 SE 5 RU 4 HU 3 FR 3 A1 2 LT 2 ?? 2 MD 1 LV 1 IR 1 IL 1 DO 1 PL 1 CY 1 UA 1 BZ 1 EU 1 BR 1 GB 1 PA 1 MN
mindestens 3 tage:
insgemsant: 176 ohne einberechnung der fehlerquote: 58,66% mit einberechnung der fehlerquote: 64,46% 82 DE 15 NL 10 RO 9 CH 8 US 8 AT 6 SE 6 LU 5 RU 3 A1 3 HU 2 ?? 2 FR 2 MD 2 LT 1 IL 1 IR 1 LV 1 DO 1 PL 1 CY 1 BR 1 GB 1 EU 1 UA 1 PA 1 BZ 1 MN
...und hier nun die backups der db und des scripts selbst. ip's die von folgenden boards kamen wurden zensiert.
achtung: es wurde immer nur der jeweilige eintrag zensiert, sofern eine person auf mehreren foren erfasst wurde,
steht auch der zensierte eintrag in dr selbe id wie der zensierte und die zensierung wird somit mehr oder weniger nichtig: