Manipulation bei den Podcast-Awards: Wie und wie verhindern.

Da hat die Netzwelt ja mal wieder einen schönen Aufhänger: bei der Wahl des Publikumspreises des Podcast-Awards wurde ganz offensichtlich manipuliert. Ich möchte hier mal beschreiben, wie das ging und vor allem, wie man es besser machen kann. Zuerst mal etwas Hintergrundwissen dazu: Die Podcast-Awards werden seit 2006 vergeben und beinhalten neben diversen Kategorien, in denen die Podcasts ausgezeichnet werden, den Publikumspreis (im letzten Jahr ging der Publikumspreis an den Computerclub2). Hier wird ein Podcast von den Zuhörern vorgeschlagen und anschliessend über eine Wahl entschieden, wer den Preis in dieser Kategorie gewinnt. In den letzten beiden Jahren war es ein einfaches Webskript, das die Wahl entgegennahm und auch keine Rückmeldungen über den derzeitigen Stand gab. In diesem Jahr war dies nicht mehr der Fall. Man verwendete eine Pollingsystem, das eine direkte Rückmeldung über den aktuellen Stand der Wahl gab und nur anhand der IP Adresse und eines Cookies sicherstellen sollte, dass Stimmen nicht doppelt abgegeben werden. Durch die Rückmeldung konnte man sehen, dass manipuliert wurde, da im Sekundentakt Stimmen für einen Podcast abgegeben wurden. Und hier hakt auch schon das System:

  1. die IP Adresse wird bei den meisten Providern nach spätestens einem Tag ungültig bzw. bei Verwendung eines Anonymisierungsdienstes werden ständig unterschiedliche, neue IPs verwendet
  2. Cookies können in den Browsern abgestellt oder gelöscht werden

Dies hat man beim CC2 erkannt und in einem Blogbeitrag darauf hingewiesen (wobei Wolfgang Back in einem späteren Blogeintrag noch einen Gedankenfehler zum Thema anonymen Proxy berichtigt, denn hier bekommt man nicht unbedingt ständig eine neue IP Adresse), worauf die abgegebenen Stimmen bei unterschiedlichen Teilnehmer (darunter der CC2, Fahrenheit 404 und Happy Shooting) sehr schnell anstiegen, d.h. es wurde offensichtlich manipuliert. Nachdem diverse teilnehmende Podcasts ihre Nominierung dann zurückgezogen haben, hat man bei Podcast-Award gehandelt und die Wahl abgesagt, dabei schob man die Schuld einfach weiter an den CC2, der diese einfache Manipulationsmöglichkeit angeprangert hat. Zu der Stellungnahme aber später noch etwas mehr.

Wie kann man das System sicherer (nein, eine absolute Sicherheit kann es nicht geben) machen? Nun, eigentlich ganz einfach:

  1. Bei dem Wahlformular lässt man einfach den Benutzer ein zusätzliches Captcha eingeben, das stellt schonmal sicher, dass kein einfaches Automatisierungsskript abläuft.
  2. Der Benutzer muss seine Emailadresse eingeben. Nach Abschicken des Formulars erhält er eine Email mit einem Bestätigungslink, den er anklicken muss, um seine Wahl zu bestätigen.

Mit diesen zwei einfachen Mitteln wäre es schwerer und zeitaufwändiger, die Wahl zu manipulieren. Eine Manipulation ist dennoch möglich, indem man ein Programm schreibt, das das Captcha entschlüsseln kann, das Formular ausfüllt, eine temporäre Emailadresse einsetzt und danach die Bestätigungsmail abwartet und den enthaltenen Link aufruft. Der Aufwand ist hierfür aber so hoch, dass es sich einfach nicht lohnt sich diese Mühe zu machen.

So, nun noch mein persönlicher Senf zur Stellungnahme von Podcast-Awards. Georg Schneider sagt in seiner Stellungnahme, dass “sich zwischenzeitlich an mehreren Stellen Quasi-Anleitungen dazu finden, unter anderem auf der Webseite des Vorjahressiegers Computerclub 2, empfinde ich als niederschmetternd. Das hat für mich nichts mit aufklärerischem Journalismus zu tun”. Ehrlich gesagt ist es genau das, was ich von einem Computerpodcast erwarte und nicht, dass man blauäugig durch die Welt geht und der Meinung ist, dass schon nichts passieren wird. Wenn man ein Votingsystem verwendet, das schon vor 10 Jahren nicht effektiv war, dann sollte man sich nicht wundern, wenn diese Schwachstellen auch ausgenutzt werden. Man sollte dann auch nicht einfach aufhören, sondern diese Warnung sehen und das System verbessern - schwer ist es ja eigentlich nicht, wie ich versucht habe, oben darzustellen. Die beiden Wolfgangs vom CC2 haben jedenfalls das gemacht, was sie sollten, sie haben die Schwachstelle nicht totgeschwiegen, sondern bekannt gemacht, in der Hoffnung, dass man daran was ändert. Irgendwie nicht verwerflich, oder?