Montag, 26. März 2007

Der Fall Benbit (geht weiter)

Beni ist sauer, weil ich in meinem Blog-Artikel en direct du Blogcamp Hinweise auf seine Identität geliefert habe. Es brauchte darauf nicht mehr lange, bis andere Blog-Leser die angebotene Spur aufnahmen (Unique Avalaon, Bloggin‘ chm, BlogCampSwitzerland: der Nachmittag etc.) und weiter herumspürten. Rasch war klar, wer sich namentlich hinter benbit verbirgt, wie er aussieht und wo er arbeitet.

Nun ist es ihm nicht mehr ganz wohl in seiner Haut und kündet drakonische Massnahmen („Ultimatum“) an:

Ich musste diesen Vortrag anonym halten, weil ich es mir nicht erlauben kann, dass zwischen benbit und meiner Person ein Zusammenhang hergestellt werden kann. Aus einem Missgeschick von mir falckerte kurz meine persönlich Emailadresse auf…

Nun finden es einige besonders witzig, meinen Namen in Ihrem Blogs zu veröffentlichen.

Sollte bis morgen Abend (26.03.07) um 18:00 Uhr auf den betroffen Websites diese Einträge nicht verschwunden sein, werde ich meine Konsequenzen ziehen. Was für Konsequenzen das sind, möchte ich an dieser Stelle noch nicht verraten.

Quelle: Ultimatum!

Wie bereits in seinem Vortrag am Blogcamp bleibt er in den relevanten Punkten äusserst vage. Das scheint Programm zu sein.

think eMeidi findet: Die PR-Maschinerie Benbit läuft wie geschmiert. Wer öffentlich einen Vortrag hält und seine Identität mit Käppi und Brille zu verstecken glaubt, muss damit rechnen, dass findige Zeitgenossen Nachforschungen anstellen. Dass dies hier äusserst simpel war, ist einerseits auf den bei SWITCH registrierten Domainnamen zurückzuführen (Junge, wir kommen allesamt aus der IT-Szene, da wird man wohl noch WHOIS kennen, oder?!), andererseits auf die Nachlässigkeit des Präsentierenden, der blöderweise mit seinem Account auf Google.com eingeloggt war.

Ratschlag

Käppi und Sonnenbrille sind cool (diverse Fotos belegen das leicht anrüchige Ambiente, dass du damit heraufbeschworen hast), die kann man lassen. Das nächste Mal rate ich aber zu folgenden zwei Massnahmen:

  • Blog via Blogspot. Der Server steht im Ausland, persönliche Angaben müssen keine angegeben resp. können ohne Probleme gefälscht werden.
  • Präsentationsaccount unter Windows. Neutraler Hintergrund, kein überfüllter Desktop, keine History im Browser (Speicherung von Formulareingaben; bspw. bei Google). Nichts, was einem peinlich werden könnte oder Rückschlüsse auf die Identität erlaubt.

Script Kiddie

Was den technischen Aspekt angeht, hat Christian Stocker meines Erachtens alles schon gesagt:

While he’s completely right that XSS is a dangerously underrated security issue and should be taken much more seriously (we blogged about it more than 2 years ago), his tone, arrogance („at least one third in here will hate me now“) and technical half-knowledge was none the less a little bit annoying.

Quelle: The first blogcamp Switzerland

Ungeklärtes

Zwei Dinge kamen mir am Vortrag quer rein:

  • Google habe seinen Cache derart gesäubert, dass benbit virtuell nicht mehr existiert. Kommt mir spanisch vor. Hat ein milliardenschweres Unternehmen die Musse und Zeit, ein kleines Blog aus dem Gedächtnis des Cyberspace zu tilgen? Meine Vermutung, dass er in seiner robots.txt dem Googlebot die Indexierung verbietet, erweist sich als falsch.
  • Dann wäre da noch dieses ominöse Cookie, dass angeblich die Zürcher Verkehrsbetriebe bereits setzen, als der Surfer nach diesem Betrieb gegoogelt hat und noch auf Google weilt. Wie bereits ein versierter Teilnehmer während des Vortrags bemerkte, ist dieses Verhalten – wenn überhaupt – wohl auf einen in Firefox eingebauten Prefetch zurückzuführen.

Komisch …

Kurz

Benbit, der Zauberlehrling. Viel heisse Luft, viel Geschrei, nicht annähernd so viel dahinter. Zurück hinter die Bücher, Harry Potter!

Breaking News

Beni schreibt das nächste fulminante Kapitel und verabschiedet sich aus der Blogosphäre. Natürlich nicht nachdenklich und leise, sondern mit einem Feuerwerk von Todesanzeige:

[…] Die Konsequenz ist, dass ich mich per sofort aus der Blogospähre abmelden. Benbit ist gestorben. […]

Quelle: Abschiedsbrief

Beni, Danke für die kurzweilige Zeit mit dir. Der Vortrag war gut und hat (wieder einmal) bewiesen, dass beim Entwickeln von Web-Sites höllisch aufgepasst werden muss.

PS: In Wahrheit legt er sich in diesem Moment ein Alter Ego zu und wird schon bald wieder – unter neuem Namen und noch anonymer – auf die Jagd nach XSS-Lücken gehen.

Liked this post? Follow this blog to get more. 

Tags:
Labels: Uncategorized

Kommentar erfassen