Schönheitswettbewerb - kurzzeitig den Trieben nachgegeben

Es ist schon eine Weile her, dass ich von dem Wettbewerb gehört habe. Als ich davon gehört habe, hat es mich eigentlich wenig interessiert. Der Wettbewerb lief weiter und irgendwann habe ich ihn mir dann doch angesehen. Von da an haben mich meine lange unterdrückten Triebe schnell wieder eingeholt und ich musste ihnen nachgeben.

Der Wettbewerb

Als Erstes sollte vielleicht mal ein kleiner Überblick gegeben werden, um welche Art von Wettbewerb es sich handelt und worum es hier eigentlich geht.
Der Wettbewerb ist eine Werbeaktion des Bekleidungsgeschäfts N Göttingen. Er findet im Internet statt und besteht daraus, dass die Besucher der Webseite ihre Fotos hochladen können. Alle registrierten Benutzer werden in einer Galerie ausgestellt. Neben dem Foto gibt man einen kurzen Text an, warum die anderen Besucher dem Foto ihre Stimme geben sollen. Alle zwei Wochen wird nachgesehen, wer die meisten Stimmen hat. Der Gewinner bekommt einen Einkaufsgutschein im Wert von 150€, der in dem Laden, der den Wettbewerb ausrichtet, eingelöst werden kann.

Die Vorgeschichte

Ein Kumpel eines Kumpels (eigentlich auch Kumpel 1. Grades) hat an dem Wettbewerb teilgenommen und meinen Kumpel (den ersteren) gebeten, für ihn zu stimmen. Da mein Kumpel Ahnung von Computern hat, meinte er, es sei sinnvoll das Abstimmen zu automatisieren. Nach einer Weile entstand ein kleines Skript, das in seinem Cygwin mit Hilfe von wget Stimmen verteilte. Mich ließ das alles kalt. Ich hatte noch alles unter Kontrolle und mir nicht mal die Seite angesehen.

Gewalt erzeugt Gegengewalt

Wir alle wissen, dass in der Vorgeschichte ein Betrug abgelaufen ist und sich keiner gerne betrügen lässt. Die Firma, die den Webauftritt und den Schönheitswettbewerb organisiert, merkte anscheinend, dass da etwas nicht mit rechten Dingen zuging und sie ließen sich etwas Neues einfallen. Etwas Besseres, um meine Kumpels zu ärgern. Als Erstes wurden die vielen hundert Stimmen zurückgesetzt und waren somit ungültig. Als Prävention für einen erneuten Betrug wurde ein wenig in die Programmiertrickkiste gegriffen und ein äußerst effektives Verfahren entwickelt, das einfach die IP-Adressen der Abstimmenden speichert und diesen mitteilt, dass sie erst nach 24 Stunden weiter abstimmen dürfen. Damit war erst mal Schluss.

Der Sog wird spürbar

Ein paar Mal, wenn wir uns trafen bemerkte mein Kumpel, dass er ja nun nicht mehr abstimmen könnte und so nicht mehr betrügen konnte. Er meinte irgendwann müssten wir uns das gemeinsam mal ansehen, um herauszufinden, was denn da noch gehen würde. Sogar ein alter Kumpel (und Informatikstudent) wollte sich daran versuchen und hatte rumgeprahlt, es sein ein Leichtes die Stimmen zu bekommen. Irgendwann abends oder nachts setzte ich mich dann vor meinen PC und gab die URL zu der Voting-Seite ein. Da war sie mit den ganzen komischen Jungs und Mädels, die sich zur Wahl stellten, den Gutschein zu gewinnen.

Es war leicht zu sehen, wie das Wählen funktionierte:
Beim Klick auf den Vote-Knopf unter dem jeweiligen Bild wurde die ID der Person übertragen, für die man abstimmen wollte. Interessant: eine einfacher Klick, mehr nicht. Keine dynamischen Elemente, einfach nur die ID und eben das Problem, dass man eine neue IP für jede Stimme benötigte.

Die Stimmen der Spiders und Crawlers

Wer hat denn viele IP Adressen und ruft ab und zu mal Seiten damit auf? Wenn man mal in die Logs von Webseiten guckt gibt es da besonders viele Einträge von Bots, Crawlers und Spiders, die von irgendwelchen Suchmaschinen gestartet, die Webseiten untersuchen. Also wäre es doch nett, wenn diese lieben Tierchen ihre Stimme für mich abgeben würden. Man muss sie einfach nur lieb bitten, doch mal die Seite aufzurufen. Über kostenlose Eintrageseiten habe ich also meine Vote-URL in ca. 80 Suchmaschinen eingetragen und hatte nach einer Weile ungefähr 70 Stimmen mehr.

Da geht doch noch was

Computer sind zwar gute und meistens verlässliche Freunde des Menschen, aber viel mehr als diese einmalig 70 Stimmen würden sie mir wohl nicht geben.

Wie kann man Leute veranlassen die URL aufzurufen? Ein bisschen Recherche brachte mich auf die Kontaktseite eines der Teilnehmer, die er in einer Kontaktplattform für Nicht-Heteros eingestellt hatte. Dort stand „Weiter Informationen über mich findet ihr hier“ gefolgt von der URL, die direkt die Stimme abgegeben hat. So ein Betrüger! Der legt die Leute bewusst rein und klaut sich so die Stimmen.

Abbildung 1: Der Kontaktseitenbetrüger

Abbildung 2: Metaflux auf Platz 1

Meine Ideen waren meiner Meinung nach viel netter. Die Leute würden es gar nicht merken, wenn sie betrogen werden.
Eine URL kann man auch über die Einbindung eines Bildes in einer Webseite aufrufen (das machen ja schließlich die ganzen Counter auch nicht anders). Wenn man ein Bild aufruft, das keines ist, gibt es eine unschöne Anzeige, die man aber wegbekommt, wenn man die Größe des Bildes einfach auf 1x1 Pixel reduziert.

Aber wo kann man die Bilder so einbinden, dass möglichst viele Leute diese aufrufen? Foren wären ein guter Platz. Wenn man sich mal ansieht, was in politischen Diskussionsforen für Aufrufszahlen neben aktuellen Themen stehen, bekommt man eine Gänsehaut. Leider lassen sich dort keine Bilder direkt einbinden, da HTML-Code nicht genutzt werden kann.

Bei Auktionen über Ebay ist das allerdings anders. Hier ist es kein Problem Bilder in die Seiten einzubinden. Man müsste aber Angebote einstellen, die auch noch genug Leute anziehen und natürlich keine Mühe machen bzw. keine echten Produkte verkaufen. Man könnte z.B. moderne WLAN Kabel anbieten (sogar versandkostenfrei). Das Einstellen solcher Artikel kostet jedoch Geld. Billiger ist es da mit Büchern, da kostet das Einstellen einen Cent. Nach dem ich einen Artikel „Ungeschriebenes Buch“ vorbereitet hatte, der aus 5 leeren Seiten Druckerpapier und einem Bleistift bestand, kamen mir Zweifel, ob der Cent gut angelegt sei, da vielleicht niemand auch nur die Seite des Artikels aufrufen würde. Ich blies die Sache ab.

The N-pire strikes back

Die Leute von N-Göttingen merkten natürlich, das irgendetwas nicht so war, wie es eigentlich sein sollte. Wahrscheinlich mussten sie nur in die Logs gucken und bemerkten, dass die Idee mit dem Voten durch eine feste URL keine gute war. Der Lösungsansatz ist meiner Meinung nach echt genial, jedenfalls war das nicht der Lösungsansatz, den ich hatte und ihrer war sogar besser (hats up for N :-).

In die URL zum Voten wurde die aktuelle PHP-Session-ID eingebunden. Beim Voten selber fand eine Prüfung statt, ob die angegebene ID auch mit der Session-ID des Servers übereinstimmte. Weiterhin blieben natürlich IP Adressen für 24 Stunden gesperrt. Genial, wenn man nun durch eine Person abstimmen lassen möchte, muss diese Person sich erst eine Session auf dem Server holen und kann dann erst abstimmen. Wobei natürlich der feindliche Code die Session-ID herausfinden müsste, um mit ihr abzustimmen. Ein Abstimmen über ein Bild war hiermit nicht mehr möglich.

Rhino’s Charon und gute alte Szene Zeiten

Jetzt war es klar, wenn ich weiter abstimmen möchte, brauche ich IP Adressen, über die meine Anfragen zum Server kommen. Also mussten Proxy-Server her, viele Proxy-Server.
Ich begab mich in die Tiefen des Internets auf Seiten, auf denen wir uns früher rumgetrieben haben, die ich seit Jahren nicht mehr besucht hatte. Aus damaligen Erfahrungen wusste ich, dass die Proxy-Listen, die dort zu finden waren, nicht allzu verlässlich waren. Nach einer Weile fand ich ein beeindruckendes Softwareprogramm, das google nach Proxy Listen durchsucht und auch gleichzeitig die gefundenen Server überprüft. Das Programm trägt den Namen Charon und ist erstellt von Rhino. Auf seiner Webseite fand ich seinen Abschiedsbrief an die Szene. Beim Durchlesen dieses Briefes flammten die ganzen Erinnerungen an die lange vergangene Zeit auf, in der ich mich auch noch mit der Szene beschäftigt hatte. Die ganzen Bücher über Hacker und Computerpioniere sowie die unzähligen Seiten der Gruppen, die ihre Ethik und Manifeste veröffentlicht hatten. Richtig schöne nostalgische Erinnerungen...

Jedenfalls lief die nächsten Nächte Charon durch und durchstreifte für mich das Internet. Charon ist übrigens eine tolle Software, die aber leider ab und zu mal abstürzt. Da ich mich aber mit Rhino in gewisser Weise verbunden gefühlt habe, habe ich mich nicht um Alternativen bemüht :-).

Sitzungszuordnung

Nach dem ich nun einige viel versprechende Server gefunden hatte, musste ich diese nur noch verwenden, um für mich zu stimmen. Leider verhalten sich die Server ja nur als Mittelsmänner, die alles durchlassen, was ich in meinem Browser klicke. Klicken wollte ich auf keinen Fall selbst. Das würde alles sehr viel Zeitaufwand bedeuten und eigentlich hatte ich sowieso etwas anderes zu tun. Aber zu diesem Zeitpunkt hatten mich meine inneren Triebe schon ziemlich unter Kontrolle und es war einfach dieses Verlangen da, weiterzumachen.

Na ja, so schwer kann es ja auch nicht sein. Immerhin würde eine gültige Anfrage, die ich durch den Server schleifen kann, schon ausreichen und eine Stimme mehr bedeuten. Man muss nur eine gültige Session-ID besitzen und der Server muss wissen, dass man diese hat. Sie wir dem Server über ein Cookie mitgeteilt. Nach ein paar Versuchen war klar, dass man die ID frei wählen kann, es wird dann einfach eine neue Session/Sitzung auf dem Webserver erstellt, die dieser ID zugeordnet ist. Man kann also Sitzungen erzeugen, deren Nummer man frei wählen kann. Na ja fast, es sollten schon 128Bit Hex sein.

Ein kleines Programm, das eine Liste von Servern lädt und dann auf jedem die gleiche Anfrage ausführt war schnell geschrieben. In dem Log von N-Göttingen könnte man sich vielleicht wundern, warum ein Benutzer 100-mal mit derselben Sitzung abstimmen kann, aber das war mir egal.

Man bekommt nichts geschenkt...

Nach ein paar Läufen musste ich feststellen, dass von den 400 Servern leider nur ca. 60 wirklich meine Anfragen weiterleiteten. Man bekommt eben nichts geschenkt und es wäre ja auch zu schön, wenn jemand diese Dienste wirklich aus reiner Nächstenliebe anbieten würde. So konnte das nichts werden.

Jedenfalls stellte ich fest, dass man bei einem Widerverbinden mit dem Internet eine neue IP Adresse von Arcor zugewiesen bekommt. Also musste ich nur irgendwie die Verbindung kappen können, mich neue verbinden und schon müsste ich wieder abstimmen dürfen. Über die Weboberfläche meines Routers konnte ich genau dies tun. Da Klicken natürlich out ist, versuchte ich auch diese Schritte zu automatisieren. Manchmal schlägt die Anmeldung per BASIC-Authentication fehl, aber das stört kaum weiter.

Ich stellte die Software fertig, als ich nachts von einem Kumpel zurückkam, mit dem wir Poker gespielt hatten. Das Intervall waren jeweils 30 Sekunden, die Verbindung zu kappen und dann 30 Sekunden, sie wieder aufzubauen und die Stimme abzugeben. Die Nacht raste meine Stimmenanzahl von ca. 160 auf über 600. Morgens stellte ich das Programm ab, um nicht Probleme mit dem Internetprovider zu bekommen, der sich vielleicht wunderte, warum bei mir jede Minute eine neue Einwahl stattfand und das für ungefähr sechs Stunden am Stück.

Abbildung 3: Der Hübsche auf dem Foto hatte bald über 600 Fans :-)

... und manchmal sogar etwas abgezogen.

Ich lag gerade so gut im Rennen und freute mich über meine knapp 700 Stimmen, da erreichte mich eine Mail vom Betreiber des Wettbewerbs:

Abbildung 4: Das Gewinnspiel wurde manipuliert!

Kurze Zeit später waren dann auch die Stimmen weg und ich hatte nur noch 100 Stimmen.

Reflektion

Auf meinem Desktop schlummert in einer der vielen komisch benannten Textdokumente, die keinen bestimmten Sinn haben, ein Zitat, das mir beim Nachdenken über die ganze Aktion in den Kopf kam. Anstelle das Zitat an meine Mails als Signatur anzuhängen und alle damit zu nerven, werde ich es nun an dieser Stelle bringen:

"Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning."

Rich Cook

Ich fürchte ich bin ein wenig entgleist und habe diesmal die falsche Seite bedient. Ein Punkt mehr für das Universum :-(

Ein Kumpel meinte ich sollte es machen und wir würden dann zusammen nach Göttingen fahren, um dort einkaufen zu gehen. Er will es wahrscheinlich einfach nur mal erleben und vielleicht gehört es für ihn einfach dazu, da es sich sonst ja gar nicht lohnt :-)

Mit einer Freundin habe ich auch darüber gesprochen, wie mies ich es fände, andere Leute, die den Sieg rechtmäßig verdient hätten, um die 150€ zu betrügen. Ihr Kommentar war nur (einigermaßen entsetzt): „Jan, du bist zu gut für diese Welt!“.

Na ja, noch kann ich das ja ändern. Sollte ich es aber tun?

Zu anderen Aktionen hatte ein Kumpel mir schon früher einmal gesagt: Eigentlich hat man ja den Gewinn auch verdient, wenn man sich so eingehend damit beschäftigt. Denn es ist ja immerhin eine Art der Investition, die belohnt werden solle... oder nicht?

War es nicht eigentlich nur die Herausforderung, gegen die Leute anzutreten und zu sehen, wer den längeren Atem hat, wer „besser“ ist?

Hat sich die Frage denn nun schon beantwortet?

----

28.08.2006

Mannnnnn..., das wird ja schon fast ein bisschen philosophisch hier. Ich schließe jetzt besser ab und überlege mir, ob ich noch ein bisschen Wählen gehe.

----

04.09.2006

The thrill was gone. Der Wettbewerb ist vorbei und ich habe mich zurückgehalten. Die ganze Aktion war ein wenig schwachsinnig, da ich die Zeit besser für Prüfungsvorbereitungen genutzt hätte. Andererseits ist eine solche "Fingerübung" solange Niemand Schaden nimmt sicher nicht schlecht für die Kreativität.

Herzliche Glückwünsche an die Gewinnerin mei äään.

----

05.09.2006

Sämtliche Informationen auf dieser Seite sind übrigens frei erfunden und dürfen vor Gericht nicht verwendet werden. Der Rechtsweg ist ausgeschlossen.

----

P.S.: Wenn Ihr Probleme damit habt, dass Eure (nicht so frei erfundenen) Bilder hier zu sehen sind, dann kann ich sie gerne wieder entfernen. Eine einfache Email genügt.

 
Kontakt | Startseite