 |
Sicherheit in NetzenProf. Jürgen PlateDipl.-Ing. Jörg Holzmann |
|
Sicherheit in NetzenProf. Jürgen PlateDipl.-Ing. Jörg Holzmann |
Die Links innerhalb des Scripts offenbaren drei Pseudonyme von Usern, zum Beispiel: http://www.skyinet.net/~koichi. Auf deren Homepage lag das Programm, das "I Love You" zur Datenspionage verwenden wollte. Seinen Provider verrät uns zum Beispiel die Datenbank Allwhois. Man muß nur skyinet.net in das Suchfenster eingeben und erhält Namen, Adresse und Telefonnummer: Sky Internet,Inc., L/G Victoria I Bldg. 1670 Quezon Ave, Quezon, Ph 1103 8000, +63 2 411-2005. So kommt man auch sicher an deren Kunden mit dem Pseudonym "koichi".
<BODY> <P><FONT Color="#100001" FACE="Verdana" SIZE="2"> <B>Hey Du</B><BR><BR> Am besten sofort anrufen: <BR> <B>Tel 0067.710.523 </B><BR> Total affig! <BR><BR> EineÜberraschung von ?? </FONT> <img src="http://lll.0lo.org/l0/RpC.ddd?a=plate@fhm.edu&b=0067SS" width="0" height="0" border="0"> </P></BODY>Sobald die E-Mail geöffnet wird, ruft der Bilder-Link (<img src=...) ein Programm namen RpC.ddd auf und gibt ihm die beiden Werte von a (plate@fhm.edu) und b (0067SS) mit. Damit weiß das System des Spammers nicht nur, daß die E-Mail-Adresse gültig ist, sondern sogar wann und von welchem Rechner (IP-Nummer) aus die E-Mail gelesen wurde.
Wird ein Artikel gleichlautend in übermäßig viele Newsgroups gepostet oder crosspostet, so spricht man im ersten Falle von Spam oder EMP (excessive multiple posting), im zweiten von Velveeta bzw. ECP (excessive cross-posting).
SPAM steht für "Spiced Pork and hAM(*)", so eine Art Preßfleisch, das in Amerika verkauft wird (sieht aus wie Katzenfutter). Es gibt einen Sketch aus Monty Python's Flying Circus, in dem ein Paar in einem Restaurant die Speisekarte vom Kellner vorgelesen bekommt und in jedem Gericht ist SPAM drin, zum Teil sogar mehrfach. Auch in dem Restaurant sitzt eine Gruppe Wikinger, die am Ende des Sketches 'Lovely Spam, wonderful Spam!' singen. Insgesamt kommt in dem Sketch das Wort SPAM ca. 120 mal vor.
(*) Manche Leute behaupten, es steht für Synthetically Produced Artificial Meat.
Bei E-Mail spricht man von:
Da UCE zunehmend lästiger wird, sind in letzter Zeit einige Leute auf die Idee gekommen, ihre News-Artikel unter einer falschen Adresse zu posten. Im Body des Artikels finden sich dann meistens Hinweise auf eine gültige Adresse. Diese Methode, sich gegen UCE zu wehren, ist jedoch problematisch. Wird der Domain-Teil der Adresse verändert, kann es passieren, daß diese Adresse trotzdem gültig ist (sogar 'xxx.de', 'nospam.de' oder 'deletethis.de' sind beim DE-NIC registriert. Wird nur der Namens-Teil der Adresse verändert, erhält zumindest der Postmaster einer Fehlermeldung per Mail. Die UCE-Versender bekommen von Fehlermeldungen/Bounces dagegen in der Regel nichts mit, da sie fast nie unter einer gültigen E-Mail-Adresse ihre UCE versenden bzw. keine gültige Rücksendeadresse angegeben haben.
Sinnvoller ist es deshalb, das Problem UCE an der Wurzel zu packen. Dies kann durch das Einrichten von Teergruben oder durch das Filtern von bekannten Spammer-Domains geschehen. Weiter Informationen gibt es bei:
Wenn die Mail an einen ungültigen Empfänger gerichtet ist, wird gewöhnlich eine Fehlermeldung an den Absender (in diesem Fall den Spammer) zurückgeschickt, und der Spammer kann die nächste Möglichkeit ausprobieren. Wenn die Mail einen gültigen Empfänger erreicht, und keine Fehlermeldung zurückkommt, weiß der Spammer, dass die Adresse existiert, und speichert diese in seiner "Opfer-Datenbank"
In der Regel wird der Spammer aber versuchen seine Absenderadresse zu verschleiern, bzw. einfach eine ungültige Absenderadresse anzugeben, so dass er auf direktem Weg keine Antwort erhalten kann. Um trotzdem eine Bestätigung über die Existenz des Opfers zu erhalten, benutzt er einen einfachen Trick:
Er merkt sich einfach zu jeder versendeten E-Mail einen systematisch erzeugten Schlüssel, z.B. eine lange Zufallszahl. Diese Zahl wird in einen gewöhnlichen Hyperlink eingebaut, z.B:
... Um sich aus dieser Mailingliste wieder auszutragen klicken Sie auf: http://www.firma.de/reply.cgi?id=2374654000332
Wenn der naive Empfänger jetzt auf diesen Link klickt, oder die Nachricht zurückschickt, braucht das Programm auf dem Webserver nur noch den übergebenen Schlüssel mit den gemerkten Schlüsseln zu vergleichen, und kennt wieder eine gültige Opferadresse mehr.
Doch selbst, wenn man nicht auf die Links in der SPAM-Mail klickt, kann er Spammer z.B. bei HTML-Mails den Link als externe Ressource verlinken (Bilder, Töne, Flash). Die E-Mail enthält dann einen Hyper-Link in der Art
<img src="http://www.firma.de/reply.cgi?id=2374654000332">Dieser Link wird vom Mail-Programm normalerweise als Link auf ein Bild interpretiert. Es wird daher versuchen, das Bild von der angegebenen Adresse zu laden. Und dort freut sich schon der Webserver des Spammers auf die ID des Besuchers.
Selbstverständlich werden die Netzwerkeffekte des Internets auch von den Spammern genutzt, so dass die Datenbankbestände vieler einzelner Spammer zusammengefasst und auf CDs an andere Spammer weiterverkauft werden (die Angebote für diese CDs werden teilweise als SPAM verschickt).
Ein Cookie besteht aus einem Namen, einem Wert (Zeichenkette) und einem URL. Zudem besitzt ein Cookie eine Lebensdauer. Wird der Ausflug ins Netz beendet und der Browser geschlossen, werden alle Cookies, deren Lebensdauer noch nicht abgelaufen ist, in einer Datei gespeichert. Man spricht dann von 'persistenten Cookies'. Zukünftig läßt sich dann mühelos verfolgen, wie oft genau dieser Anwender wiederkommt und was er tut.
Ursprünglich wurden von Netscape die Cookies zur Erleichterung für den Anwender entwickelt. Sie sollten persönliche Informationen enthalten, die der Anwender beim nächsten Besuch eines Online-Angebots nicht mehr eingeben mußte, z. B. für den Zugriff auf Angebote, die eine Zugangskennung erfordern. Eine andere Anwendung wäre ein 'Einkaufskorb'. Da jeder Seitenabruf einen abgeschlossenen Kommunikationsvorgang darstellt, kann der Server nicht speichern, welche Waren ein Kunde schon in seinen Korb gelegt hat. Cookies bieten hier die Möglichkeit den Inhalt des Einkaufskorbes beim Kunden zu speichern, bis die abschließende Bestellung durch eine Bestätigung erfolgt. Normalerweise lassen sich Cookies auch keiner spezifischen Identitäten zuordnen, sofern der Besucher nicht woanders seine Identität preisgibt.
Unternehmen können mit Hilfe von Cookies Abrufprofile erstellen z. B. für verläßliche Abrufprofile für Reichweitenuntersuchungen. Schließlich will man wissen, welche Seiten wie oft abgerufen werden. Daraus lassen sich u. a. Schlußfolgerungen für die weitere Gestaltung einer Website ziehen. Trotz zahlreicher Ansätze gibt es bislang noch kein genormtes Verfahren zur Bildung von Abrufprofilen. Grundsätzlich besteht die Möglichkeit zur Bildung von Abrufprofilen jedoch auch ohne Cookies - durch die Auswertung von Logbüchern, z. B. mit entsprechenden Monitoring-Tools.
Problematisch wird es, wenn Cookies mit langer Lebensdauer eingesetzt werden. Durch persistente Cookies ist es möglich, einen Benutzer über mehrere Sessions hinweg zu identifizieren. Dadurch erhöht sich die Informationsmenge und die Zuordnung einer Personenidentität vereinfacht sich. Das ist ganz ohne Cookies nicht möglich. Mittlerweile gibt es eine Reihe von Shareware-Tools, mit denen sich Cookies auf dem Computer identifizieren und löschen lassen. Normalerweise befindet sich im Verzeichnisbaum des Browsers irgendwo eine Datei namens 'cookies.txt'. Auf UNIX-Systemen genügt es, die Leseberechtigung der Datei wegzunehmen. Auf Windows-Rechnern kann man den Inhalt der Datei löschen und sie dann auf 'Read-Only' zu setzen. Letztendlich sind Cookies aber relativ harmlos.
Anbieter, die in Ihrem WWW-Angebot Cookies verwenden, sollten einfach vorher auf deren Anwendung und den Zweck hinweisen. Dann weiß nämlich der Websurfer woran er ist und wird auch weniger Vorbehalte gegen die Cookies haben.
Es gibt also zwei Sorten von Cookies: Die mit einer Zeitangabe (lifetime) und solche ohne. Cookies mit einer Zeitangabe haben eine Lebensdauer bis zum Ablauf des Verfallsdatum. Sie werden in der cookies.txt gespeichert, wenn der Browser beendet wird, um dann beim nächsten Neustart erneut gelesen zu werden. Cookies ohne Zeitangabe haben eine Lebensdauer, die mit der Lebensdauer des Browserprozesses identisch ist. Sie werden niemals in der cookies.txt gespeichert und sie haben kein festes Ablaufdatum.
Wenn man die cookies.txt schreibschützt oder nach /dev/null linkt, verhindert man die Speicherung von Cookies mit Lebensdauer. Man behält also Warenkorbfunktionalität, weil man "Session-Cookies" weiter akzeptiert und zurücksendet. Man verliert aber Autologin-Cookies und GUID-Cookies.
Wenn man stattdessen Cookies im Browser abschaltet, verliert man alle Cookie-Funktionalität. Warenkörbe, die sich bei der Korrelation von Seiten ausschliesslich auf Cookies verlassen, funktionieren dann nicht mehr. Ausgefeiltere Systeme lassen sich auch davon nicht beirren, sondern schalten transparent auf eine Weitergabe der Session-ID in der URL um.
In dem Cookie selbst sind keine personenbezogenen Daten gespeichert. Es ist nicht der Cookie oder sein Wert, der gefährlich ist oder der geschützt werden muss. Der Cookie selbst enthält nur irgendeine zufällige, aber eindeutige Nummer. Die personenbezogenen Daten sind in einer Datenbank auf dem Webserver gespeichert und verlassen dieses System auch niemals; jedenfalls nicht in Richtung Browser des Anwenders. Man selbst bekommst also auch niemals zu sehen, was genau in der Anwendung auf dem Webserver gespeichert ist, man kann diese Daten mit der ID nur referenzieren.
Cookies sind nur eine von mehreren Möglichkeiten, Browser so zu markieren, daß eine Folge von Zugriffen unterscheidbar von allen anderen konkurrenten Folgen wird. Bekannt sind die folgenden drei Verfahren:
GET /shop/index.php3 Cookie: ID=3D17
GET /shop/index.php3?ID=3D17
GET /shop/index.php3/id/17
Schlechte Webshops funktionieren mit abgeschalteten Cookies gar nicht mehr. Man beraubt sich also im Namen einer nicht funktionierenden Methode zur Wahrung der eigenen Privacy der Möglichkeiten, im Internet Einkaufen zu gehen oder komplexere Webanwendungen zu nutzen (es gibt schliesslich noch mehr sinnvolle Anwendungen für Session-Variablen als Warenkörbe).
Seine Privacy schützt man also nicht durch das Abschalten von Cookies: Zum einen können Gute wie Böse mit anderen Verfahren als Cookies weiter korrelieren, zum anderen macht man sich das Leben nur unnötig unbequem. Seine Privacy schützt man, indem man mit den Leuten, die ungewollt Daten über einen Speichern nicht mehr redet. Das bedeutet, man installiert sich einen Junkbuster oder Webwasher als lokalen Proxy und erdet dort alle Zugriffe, die in Richtung von Systemen gehen, die man als Rogue erachtet, z.B. Doubleclick, Adfly, Flycast und wie sie alle heissen. (Blocken von allen Zugriffen auf *doubleclick* und so weiter) Man kann ausserdem sein System so konfigurieren, daß es Set-Cookies, die nicht an HTML-Dateien hängen, automatisch ausfiltert und daß es vorhandene Cookies ausfiltert, wenn diese an Requests von Bilddateien hängen. (Ausfiltern von Set-Cookie-Zeilen in allen Responses, wenn der Content-Type nicht text/html ist schaltet ankommende Cookies an GIF-Bildern und dergleichen aus.
Weitere Informationen über Cookies findet man unter
Der Sinn von Active-X ist aus Sicht von Microsoft:
Ein Active-X-Control ist ein kleines Windows-Programm, das sich nur mit Hilfe eines Web-Browsers ausführen läßt. Wenn Sie im Internet auf eine mit einem Active-X-Control ausgestattete Seite kommen, werden nicht nur Text und bunte Bilder angezeigt, sondern auch ein Programm auf Ihren Rechner geladen und ausgeführt. Im ungünstigsten Fall merken Sie gar nicht, daß ein Active-X-Control in eine Web-Seite eingebunden ist und automatisch ausgeführt wird, während Sie die Seite anschauen und sich in trügerischer Sicherheit wähnen. Die Active-X-Technologie besteht aus folgenden Komponenten:
Hinter einem Active-X-Control verbirgt sich also nichts anderes als
ein normales Windows-Programm. Es kann also alles tun, was auch jedes
andere Windows-Programm tun kann: Daten von Ihrer Festplatte übers
Netz versenden, Viren installieren - oder einfach nur die Festplatte
formatieren. Active-X-Programme sind also ein Risikofaktor und sollten
nur unter bestimmten Voraussetzungen eingesetzt werden.
Der Chaos Computer Club demonstrierte der Öffentlichkeit die Risiken
von Active X: Die Hacker programmierten ein Active-X-Control, das der
Finanz-Software Quicken einen Überweisungsauftrag unterjubelte. Der
Auftrag wurde so gespeichert, daß er beim nächsten T-Online-Connect
automatisch ausgeführt würde.
Active-X-Programme laufen derzeit nur mit dem Microsoft Internet-Explorer
ab Version 3. Damit Active-X-Controls mit einem Netscape-Browser funktionieren,
muß man ein spezielles Active-X-Plug-in installieren.
Beim Installieren von Active-X-Komponenten wird manchmal ein 'Zertifikat' angezeigt. Wer Active-X-Programme schreibt, kann sich ein solches 'Zertifikat' besorgen, das nach dem Laden der Webseite angezeigt wird. Dieses Zertifikat soll garantieren, daß das Active-X-Control wirklich im Originalzustand vorliegt. Gewährleistet wird das durch eine verschlüsselte Quersumme, die beim Herausgeber des Zertifikats hinterlegt ist und die mit der des Programms verglichen wird. Ein gültiges Zertifikat heißt jedoch keinesfalls, daß Sie einem Active-X-Control blind vertrauen können. Der bisher einzige Zertifizierer, Verisign Commercial Software Publishers CA, prüft nicht, was ein Active-X-Control auf einem Rechner anstellt, sondern nur, ob das Programm nach der Zertifizierung verändert wurde. Nachdem jeder sein Active-X-Control zertifizieren lassen kann, besteht auch die Möglichkeit, daß gefährliche oder schädliche ActiveX-Controls ein Zertifikat bekommen. Dabei muß nicht einmal böse Absicht des Programmierers im Spiel sein, denn "Man soll nie Absicht vermuten, wo Dummheit als Begründung ausreicht." Insofern hat das Zertifikat höchst zweifelhaften Wert.
Wird auf einer Webseite ein Zertifikat angezeigt, hängt es davon ab,
wo Sie sich befinden: Handelt es sich um eine renommierten Firma, können
Sie ein zertifiziertes Active-X-Control ohne großes Risiko installieren.
Befinden Sie sich dagegen auf einer privaten oder halbprivaten Seite,
sollten Sie auch mit zertifizierten Komponenten sehr vorsichtig sein.
Programmierfehler können sich natürlich auch in Controls großer
Unternehmen befinden.
Wenn Sie schon massenhaft Active-X-Controls auf Ihrer Platte haben, hilft die Freeware 'ActiveXCavator'. Sie listet alle installierten Controls einschließlich diverser Dateiinformationen (Verzeichnis, Größe) auf und kann auch einzelne Controls löschen. Das Programm gibt es unter http://www.winmag.com/software/xcavate.htm.
Die wesentlichen Gesichtspunkte sind:
Java ist objektorientiert
Java ist vollkommen object-orientiert. Jede objekt-orientierte Sprache
sollte Minimum der folgenden Charakteristiken in sich haben:
Wichtige Begriffe in diesem Zusammenhang die auch in Java vorkommen sind:
| Klassen: | Definiert Attribute und Methoden | Object : | instanzierte Klasse | Message: | Aufruf einer Methode eines anderen Objektes | Constructor: | Methode, die die Initialisierung eines einer Klasse instanzierten Objektes vornimmt | Destructor: | Gegenstück zum constructor. | Access Control: | Bei der Deklarierung einer Klasse können Attribute und Methoden mit verschiedenen Zugriffsleveln (public, protected, private, friendly) versehen werden. | Abstract Methods: | Methoden, die in einer Klasse deklariert werden, deren Implementierung aber erst in einer Subklasse erfolgt. | Packages: | Java-konstrukt, das eine Sammlung von zusammengehörenden Klassen bildet. |
|---|
Wichtige Eigenschaften von Java
Was Java hat
import: vergleichbar dem IMPORT von Modula-2.
interface: ein geschickter Ersatz für die Mehrfachvererbung.
Eigenschaften, die nicht von C oder C++ übernommen wurden:
Java ist architekturunabhängig und portabel
Durch die Verwendung von byte-code im Gegensatz zum Binärcode
ist Java völlig architekturneutral. Java-Programme lassen sich
auf allen Plattformen ausführen, auf welche die Virtual Machine
portiert wurde. Portierungen werden durch die strikte Sprachspezifikation
unterstützt.
Java ist robust
Java ist eine Sprache, die gedacht ist für robuste, zuverlässige und
sichere Applikationen.
Um dies zu erreichen wird ein striktes compile-time checking
durchgeführt, das es ermöglicht Syntaxfehler früh zu entdecken.
Java ist eine sehr typorientierte Sprache. Viele C-Freiheiten,
wie etwa implizite Deklaration von Funktionen sind nicht erlaubt.
Besondere Stützen der Robustheit sind die Abschaffung von Pointern,
die Verwendung von echten Arrays, ein Speichermodell, das die unerlaubte
Überschreibung von Speicherbereichen verhindert und strengere
Casting-Regeln.
Java ist sicher
Bereits bei der Konzeption von Java wurden grundlegende Überlegungen bezüglich
der Sicherheit angestellt. Der Java-Compiler und das Laufzeitsystem integrieren
mehere Abwehrschichten gegen potentiell gefährlichen Code. Am wichtigsten ist
sicherlich das Speicherallozierungs- und -referenzierungsmodell.
Entscheidungen über die Speicherbelegung werden nicht vom Compiler (wie in C oder C++),
sondern erst zur Laufzeit vorgenommen. Intern verwendet Java sogenannte
'handles' die zur Laufzeit in physikalische Addressen aufgelöst werden. Dies
geschieht sehr spät und z. T. auch abhängig von der Architektur, jedoch völlig
transparent für den Programmierer.
Was passiert, wenn gefährlicher Code auf einen Server generiert und zur Laufzeit auf dem client ausgeführt wird? Obwohl der Java-Compiler beim übersetzen das Einhalten von bestimmten Sicherheitsregeln garantiert, bleibt er natürlich machtlos, wenn Code-Fragmente zur Laufzeit on-the-fly gelinkt werden. Wie kann also das Laufzeitsystem dem hereinkommenden byte-code stream vertrauen, der vielleicht von einem nicht vertrauenswürdigen Compiler erzeugt wurde? Die Antwort ist einfach: Java traut dem Code nicht und unterwirft ihn deshalb dem byte-code-Verifizierungsprozeß. Dieser beinhaltet eine Reihe von sinnvollen, restriktiven Maßnahmen. Darunter sind einfache Typüberprüfungen, Ausklammerung von Pointern, Ausschluß von Stack-Über- und -Unterläfen, strikte Parameterüberprüfung, strikte Typkonvertierungen, Überprüfung der Speicherzugriffsrestriktionen. Weiter wird getestet, daß Objekte wirklich nur als solche verwendet werden.
Trotz der ausgedehnten Verifizierungsprozeß bleibt Java (laut Sun) immer noch schnell genug, da der Java-Interpreter von jeder weiterer Überprüfung hinsichtlich der Sicherheit befreit ist und damit mit vollen Geschwindigkeit arbeiten kann.
Weitere Sicherheitsaspekte sind im Java Networking Package implementiert, welches es erlaubt verschiedene Sicherheitsebenen zu konfigurieren. Diese sind:
Wer sich für Java interessiert, findet Java-Seiten mit vielen Demos, den HotJava-Browser (für SUNs) und Java-Entwicklersoftware auf dem Server von SUN Microsystems unter http://java.sun.com.
JavaScript-Programme werden im Gegensatz zu Java-Programmen direkt in der HTML-Datei
notiert. Sie werden auch nicht - wie Java-Programme - compiliert, sondern als
Quelltext zur Laufzeit interpretiert, also ähnlich wie Batchdateien bzw.
Shellscripts.
Dadurch bleibt JavaScript unkompliziert für den Programmierer, doch kritisch
für den Anwender. Das Interpretieren von Quellcode ist ungleich langsamer als
das Interpretieren von compiliertem Code. Deshalb ist JavaScript nur für kleine
und einfache Programmabläufe sinnvoll. Da kein Compilierungslauf und somit keine
Fehlerprüfung stattfindet, gibt es bei JavaScript auch keinen Schutz vor schweren
Programmfehlern, z.B. vor "Endlosschleifen", die beim Anwender zum Systemabsturz
führen können.
Wie einfach JavaSkript sein kann, sieht man hier.
Der Quellcode zum JavaScript-Einschub:
<FORM>
<INPUT TYPE=BUTTON
VALUE="Klick mich oder ich beiss Dich!"
OnClick="alert('Ich würde sowas an Deiner Stelle nicht machen!
Deine Platte wird jetzt gelöscht!')">
</FORM>
Satire: Wie selbstdokumentierend und selbsterklärend die Skripte sein können, zeigt folgendes, einer real existierenden Webseite entnommene, Skript:
<SCRIPT>
var F_A,F_B,F_CH,F_CL,F_DB,F_E,F_F,F_L,F_MT,F_MV,F_R,F_SE,F_SU,F_U,F_HR,F_MU,F_MD;
function F_e(){}
function F_n(){}
function F_on(){}
</SCRIPT>
Beliebt sind auch die animierten Schaltflächen
(fahren Sie mal die Maus drüber):
Das Skript dazu sieht so aus:
<SCRIPT LANGUAGE="JavaScript">
<!-- hide from old browsers
start = new Image(20,150);
start.src = "start.gif";
start2 = new Image(20,150);
start2.src = "start2.gif";
function HiLite(imgDocID,imgObjName){
document.images[imgDocID].src = eval(imgObjName + ".src")
}
// done hiding -->
</SCRIPT>
Das oben angeführte Skript ist "brav", es könnte aber in der Funktion HiLite
beliebig viel Unsinn enthalten sein.
Wenn Sie etwas Zeit haben, dann klicken Sie doch mal HIER.
Weitere Informationen und Beispielsammlungen zu JavaScript finden Sie im WWW:
In den Browsern Internet-Explorer und Netscape Communicator läßt sich so gut wie jedes Feature abschalten, welches den Rechner und seine Daten gefährden könnte. Dann allerdings geht im Web so gut wie nichts mehr. Aus diesem Grunde werden hier die einzelnen Features genauer beleuchtet.
Wem diese Sicherheitsebene nicht genügt, der muß die verfeinerte Anpassung der einzelnen Stufen vornehmen. Die Einstellungen gelten nicht global, sondern nur für die jeweilige Zone. Gleichzeitig nehmen Sie verschiedene Sicherheitsoptionen wieder zurück, wenn Sie die Warnhinweise zu bestimmten Inhalten mit der Checkbox Den Hinweis für diese Zone nicht mehr anzeigen abschalten. Also alle Einstellungen nochmals aufsuchen und wieder aktivieren.
Das Fenster Internetoptionen/Sicherheit im Internet-Explorer ermöglicht die dedizierte Wahl sicherer oder unsicherer Web-Seiten. Um Adressen derartiger Server einzugeben, wählen Sie zuerst deren Zone aus und klicken dann auf Sites:
Die grundlegenden Einstellungen des Browsers erreichen Sie recht einfach über Bearbeiten/Einstellungen/Erweitert. Die dortigen Sicherheits-Optionen sind: Java aktivieren, JavaScript aktivieren und JavaScript für Mail und Diskussionsforen aktivieren. Parallel zur höchsten Sicherheitsstufe im Internet-Explorer könnte man diese drei Optionen abschalten. Damit führt der Communicator Java nicht einmal in E-Mails aus.
Dabeben findet man im Communicator den Menüpunkt Sicherheit. Das dortige Fenster aktiviert Paßwörter und die programmeigene Kryptographie, kann jedoch auch Zertifikate aktivieren, mit denen ein Java-Code außerhalb der Sandbox im Dateisystem arbeiten kann.
Eine weitere Gefahr sind sind Plug-Ins. Sie erweitern den Communicator um beliebige Funktionen, können aber auch immensen Schaden anrichten. Sie sollten sich zuerst anschauen, welche Zusätze derzeit bereits aktiv sind: Dazu klickt man auf Hilfe/Über Plug-Ins. Hier finden Sie im oberen Bereich auch einen Link zu Netscape, der zu den von Netscape angebotenen Plug-ins führt. Dort gibt es derzeit knapp 180 Plug-ins aus unterschiedlichsten Kategorien.
Im Communicator ist es dem Anwender gestattet, Optionen der Sandbox zu ändern - dem Applet oder Script jedoch nicht. Ohne das Zonenkonzept ist man darauf angewiesen, die fraglichen Einstellungen pro Script/Apptet oder je Internet-Site vorzunehmen. Im Ordner \Netscape\Users\<Benutzer> gibt es eine Datei namens PREFS.JS, in der man eine Reihe von Einträgen vornehmen kann. Es handelt sich um eine reine Textdatei, man kann sie also mit einem einfachen Editor, wie dem Notepad bearbeiten, nachdem man eine Sicherheitskopie des Originals angelegt hat. Ein Beispiel sollen zeigen, was dort einzutragen ist:
In seiner Grundeinstellung legt der Communicator HTML-Seiten, die über eine
sichere Verbindung geladen wurden, nicht in seinem Seitenspeicher ab. Der Grund:
Aus dem Cache können unbefugte Leute eine solche Seite herausholen und im Klartext
lesen, was die Übertragung via SSL ursprünglich verhindern sollte. Mit der folgenden
Zeile schaltet man die Speicherung einer Seite im Cache wieder ein:
user_pref("browser.cache.disk_cache_ssl",true);
Eine ausführliche Anleitung finden Sie unter http://www.ufaq.org
Siehe auch Erkennung trojanischer Pferde bei Windows im dritten Kapitel.
Pornografisches ist grundsätzlich nicht strafbar. Eine Ausnahme gilt
jedoch für Kinderpornographie. Hier genügt der bloße Besitz, um sich
strafbar zu machen. Selbst wenn Sie keine Bilder speichern, sondern
nur zufällig über solche Dateien stolpern existieren diese im
Plattencache des Browsers. Ob es sich dabei bereits um "Besitz" im
Sinne des StGB handelt, ist bisher noch nicht höchstrichterlich
entschieden.
Um allen strafrechtlichen Problemen aus dem Weg zu gehen, empfiehlt es
sich, solche Daten sofort von der Festplatte zu löschen. Gleiches gilt
für E-Mails mit derartigen Inhalten.
Wenn man beim Surfen auf Kinderpornos oder auch rechtsextremes Material
stößt, kann man sich an ppmuc@www.polizei.bayern.de wenden.
Bei Newsgroups ist bereits hinsichtlich "normaler", pomogrophischer
Schriften und Bildern Vorsicht geboten. Sofern in einer Newsgroup freier
Handel mit "normaler" Pornographie getrieben wird, sollte man sich nicht
beteiligen, da nicht sichergestellt worden kann, daß daran nicht auch
Jugendliche unter 18 Jahren teilnehmen. Wer sich dennoch aktiv einbringt,
läuft Gefahr, sich wegen Verbreitung pornographischor Schriften strafbar
zu machen.
Eine Verschärfung gilt für die harte Pornographie. So ist zum Beispiel
die Verbreitung von Bildern mit Kinderpornographie, Sodomie und der
Darstellung von sexueller Gewalt allgemein verboten.
Eine sachliche Diskussion über alle Themen in Nowsgroups oder Chatforen
ist nicht strafbar. Die Meinungsfreiheit ist hier oberstes Gebot, eine
Ausnahme gilt lediglich in bezug auf die Leugnung des Holocousts.
Desweiteren könnte der Webseitenbetreiber einen 0190-Dialer auch als zusätzliches Chat- oder Webcamprogramm ausgeben und verschweigt dabei die teuren Einwahlkosten. Auch sind Webseiten bekannt, wo sofort bei Eintritt auf das Angebot eine EXE-Datei (somit die Dialer-Software) als Downloadlink startet. Der Anwender braucht "nur" noch den Button "Speichern [unter]" zu betätigen. Zumindest befindet sich die Software so schon einmal auf dem System des Besuchers. Nicht selten wird Dialer-Software auch gar nicht durch den PC-Besitzer geladen und installiert, sondern z.B. durch Familienangehörige. Gerade Kinder sind oft sehr neugierig und probieren gerne neue Dinge aus. Die Versuchung ist gross, doch so ein Programm mal einfach zu testen. Der Nachwuchs vergisst dabei die Zeit und schnell fallen hohe Verbindungskosten an, welche die Eltern als Inhaber des Telefonanschlusses zu tragen haben.
Einige 0190-Dialer verhalten sich wie Trojanische Pferde. Diese Spezies unter den Programmen legen entsprechende Eintragungen im System an, meistens in der Registry. Diese Eintragungen bewirken den automatischen Start bei jedem Neustart des Windows-Systems. Somit ist die Dialersoftware ständig im Hintergrund geladen. Das ist noch nicht weiter das Schlimmste daran. Doch wenn sich die Software selbstständig macht, indem ohne Nachfrage bzw. Hinweise an den Anwender, 0190-Verbindungen aufgebaut werden, kann man schon von kriminellen Handlungen sprechen.
Eine weitere beliebte Variante besteht darin, daß die ohnehin neu angelegte DFÜ-Verbindung als Standardverbindung definiert wird. Viele PC-Anwender habe ihre DFÜ-Einstellungen gleich mit dem Browser oder Mailprogramm gekoppelt. Gibt der User eine Internetadresse in seinen Browser ein, so schaltet sich die definierte DFÜ-Verbindung zwischen. Wenn der Anwender nun auch ohnehin stets sein Zugangspasswort abgespeichert hatte, fällt es gar nicht auf, daß während der gesamten Internetsitzungen eine 0190-Verbindung besteht. Vor der Einwahl wird zwar die Rufnummer angezeigt, aber welcher Anwender achtet schon darauf? Sollte doch das gewohnte Passwort eingegeben werden, so ist das auch egal, da die Verbindung dahingehend durch die Software eingestellt wurde, indem ein beliebiges Passwort eingeben werden kann.
Eine installierte DFÜ-Verbindung ist bekanntlich im Ordner "DFÜ-Netzwerk" auch sichtbar.
Doch gilt auch diese Regel leider nicht immer. Einige Dialer tragen sich erst bei der Einwahl
dort ein. - Dafür sorgt ein zweites Programm, welches im Hintergrund des Systems läuft.
Nach der Abwahl wird der Eintrag durch das gleiche Programm wieder entfernt. Dieses zweite
Programm liefert der Dialer quasi mit, sobald dieser das erste mal überhaupt installiert wird.
Der Kunde nutzt ein derartiges Angebot und wählt sich nach einiger Zeit ab. Das Programm
bestätigt dieses auch. Aber im Hintergrund bleibt die Verbindung entweder noch für einige Zeit
bestehen oder sogar so lange, bis das System komplett heruntergefahren wird. Auch sind
zeitgesteuerte Dialer bekannt, die sich stets zu einer bestimmten Uhrzeit erneut einwählen
oder zu einem vordefinierten Zeittakt.
Aber auch über Chatsysteme (ICQ, AOL Instant Messenger, MSN etc.) werden sogenannte
gecrackte Dialer immer wieder angeboten. Siehe unsere Beispieldokumentation eines
Falles. Es ist in jedem Fall zu empfehlen, NIEMALS derartige Software zu laden und auf dem
lokalen System zu starten.
Scheinbar haben einige dubiose Anbieter mitbekommen, daß viele Internetanwender die
Anwahl von Rufnummer mit der Vorwahl 0190 durch die Telekom haben sperren lassen. Hierzu
werden Vorwahlen verwendet, die für Onlineprovider bestimmt sind (z.B. 0193/0192 etc.).
Diese Provider können die Minutenpreise selber bestimmen. Auch hier sind somit
Minutenpreise von weit über 3,-- DM möglich (z.B. 3,63 DM/Min.).
Trotz "0190-Sperre" ist nun wieder die Einwahl zu teuren Diensten möglich. Keine Frage, ob
das nun böser Wille seitens des Anbieters ist, sei einmal dahingestellt.
Oftmals wird auf Angebotsseiten bekanntlich der Versuch gestartet einen Dialer auf dem System des Besuchers zu installieren. Oftmals gelingt das jedoch nur, wenn der Besucher auch einige technischen Vorgänge bestätigt. Hierzu werden Hinweisfenster seitens der Seitenbetreiber "gebastelt". Diese Fenster beinhalten Buttons mit z.B. "Ja" und "Nein", die der Besucher anklicken soll. Egal für welchen Button er sich entscheidet, er bestätigt den weiteren Installationsvorgang. Oder die Fragen sind sehr missverständlich gestellt, damit sich der Besucher für den richtigen Button (aus Sicht des Seitenbetreibers) entscheidet. Pop-Up Fenster also NIEMALS mit dem Versuch schliessen, indem Buttons im Fenster angeklickt werden, sondern stets mit dem Kästchen im Fenster oben rechts (Kreuz).
Die meisten Dialer legen eine neue DFÜ-Verbindung an. Diese kann der Anwender über Arbeitsplatz -> DFÜ-Netzwerk per Mausklick erreichen (oder über Programme -> Zubehör -> Kommunikation). Hier befinden sich alle festgelegten Verbindungen. Da einige Dialer sich wie ein trojanischen Pferdes verhalten, können die üblichen Methoden zur Erkennung von Trojanern angewendet werden. Auch sollte der PC-Anwender stutzig werden, sollte sich ein bisher unbekanntes Icon unten rechts in der Desktop-Leiste befinden (links neben der Uhrzeit). Je nach Dialer können die Icons in ihrer Darstellung stark abweichen. Wenn der Anwender einen Internetzugang per DFÜ-Netzwerk nutzt, sollte auch die eingestellte Einwahlnummer kontrolliert werden. Kein normaler Provider wird eine Einwahlnummer nutzen, die mit 0190xxx oder 010330190xxx beginnt.
Der beste Schutz überhaupt - 0190 sperren lassen. Diese Möglichkeit stellt sich als die beste und auch effektivste Möglichkeit zum Schutz hoher Telefonrechnungen dar! Die Anwahl bestimmter Vorwahlbereiche kann für einen Telefonanschluss auch gänzlich gesperrt werden. Dabei können auch andere Vorwahlen zusätzlich einbezogen werden. Folgende Vorwahlbereiche sollten in jedem Fall gesperrt werden:
Es gibt Leute, die geben bei der Beantragung Ihrer Bahncard ein Paßbild ab, obwohl sie auf den umseitigen Bedingungen darauf hingewiesen werden, daß alle Daten incl. dieses Bildes zur Firma Electronic Data Systems (EDS) in die USA geschickt wird. Dies geschieht, weil die Deutsche Bahn die Kartenerstellung durch die Citibank machen läßt, währen EDS für die Citibank die EDV erledigt. Die Firma verfügt über erstklassige Informationsquellen bis hin zu aufgekauften Spionagesatelliten. Durch (in Deutschland untersagte) Zusammenführung von Datenbanken kann hier ein privatwirtschaftliches Unternehmen die unglaublichsten Dinge bewegen. So wurde bspw. ein alimentenflüchtiger Engländer bei einem Inlandsflug von Neu Dehli nach Bombay verhaftet. Grund: EDS arbeitet für Air India (und weitere 23 große Fluggesellschaften) und die englische Steuerbehörde.
Wem solche Geschichten Angst einjagen, der möge sich von einem alten Sprichwort trösten lassen: "Auch wenn Du nicht paranoid bist, so heißt das noch lange nicht, daß sie nicht hinter Dir her sind."
An einigen Plätzen hinterläßt man viele Spuren, an anderen weniger. Während man bei körperlicher Anwesenheit immer Spuren (Hautschuppen, Haare, ....) hinterläßt, die bspw. in der zentralen Gendatenbank des Herrn Kanther nachgeschlagen werden können, sind elektronische Medien von diesem Makel befreit.
So muß jeder Rechner eine eindeutige Nummer (IP-Adresse) haben, eine Art Postanschrift. Er erreicht andere Rechner ebenfalls über diese Adressen. Jeder, der die Datenleitungen am Ende oder irgendwo dazwischen anzapfen kann, kann so ein Nutzungsprofil erstellen. Das ist einfacher, als man denkt! Auf dem Weg zum Zielsystem sind eine Vielzahl unabhängiger Kleinunternehmen involviert. Ob es der Telefonanbieter, der Provider oder dessen Telefonanbieter ist...
Auf dem Zielsystem ist es dagegen sehr einfach. Alle Serverdienste, wie
Web und Dateiserver führen penibel Logfiles, wer wann von wo was gelesen
hat. Man kann deutlich erkennen, wie md59-072.mun.compuserve.com alias
195.232.62.72 zuerst die ActiveX Webseite mit allen darauf liegenden Bildern
geholt hat. Vierzehn Minuten später (die Seite ist wirklich lang) wechselt
er zum Ewigen Logfile und benutzt es. Übungsaufgabe: Wie schnell liest er?
Liest er gern und viel? Hat er einen hohen Bildungsstand?
md59-072.mun.compuserve.com - - [16/Apr/1998:00:08:54 +0200]
"GET /mitarb/lutz/security/activex.html HTTP/1.1" 200 13803
md59-072.mun.compuserve.com - - [16/Apr/1998:00:08:59 +0200]
"GET /mitarb/lutz/security/activex.gif HTTP/1.1" 200 6176
md59-072.mun.compuserve.com - - [16/Apr/1998:00:08:59 +0200]
"GET /mitarb/lutz/security/radioactivex.gif HTTP/1.1" 200 2904
md59-072.mun.compuserve.com - - [16/Apr/1998:00:09:01 +0200]
"GET /pic/key.gif HTTP/1.1" 200 184
md59-072.mun.compuserve.com - - [16/Apr/1998:00:09:01 +0200]
"GET /pic/unkey.gif HTTP/1.1" 200 196
md59-072.mun.compuserve.com - - [16/Apr/1998:00:14:07 +0200]
"GET /mitarb/lutz/cgi-bin/logfile.pl?form HTTP/1.1" 200 949
md59-072.mun.compuserve.com - - [16/Apr/1998:00:14:25 +0200]
"POST /mitarb/lutz/cgi-bin/logfile.pl?submit HTTP/1.1" 200 3557
Die Auswertung der Logfiles ist das tägliche Brot der Netzdienstleister
zum Wohle Ihrer Kunden. Diese Kunden sind nutzen diese persönlichen
Verhaltensprofile zu den verschiedensten Zwecken. Einige passen Ihr Angebot
an, so daß die kleinen Angebote zugunsten eines Mainstream verschwinden.
Andere leiten die Daten an Direktmarketingagenturen weiter, manchmal auch
durch einfachen Verkauf.
Jengate selbst hat sich in der zweiten Received Zeile verewigt und behauptet, die E-Mail von As-Node.Jena.Thur.De per BSMTP bekommen zu haben. Vermutlich über das Datenaustauschverfahren UUCP, daß ohne IP Adressen auskommt. Die As-Node hat sich nicht verewigt. Das kann sein, ist aber ungewöhnlich.
Die aufgeführte Message-ID ist ideal zum Spurenverfolgen. Sie bleibt den
gesamten Transportweg über fest und kann somit als Nachfrageinstrument taugen.
Ein Blick auf das Logfile von Jengate zur fraglichen Zeit bestätigt die
Angaben. Die Mail kam also wirklich von der As-Node.
Apr 17 03:22:21 jengate sendmail[9046]: DAA09046:
from=news@as-node.jena.thur.de, size=2288, class=0, pri=32288, nrcpts=1,
msgid=<m0yPf4f-0005ZLC@as-node.jena.thur.de>, proto=BSMTP,
relay=uucp@localhost
Wer E-Mail schickt, muß also damit rechnen, daß er zurückverfolgt werden
kann. Adressfälschung schützt somit nicht vor Rückverfolgung. Auch Spammer
(Werbemüller) werden so zweifelsfrei identifiziert. Dies führt i.d.R. zum
Account-Verlust des Spammers, oder bei großen Firmen zu einem Eintrag in
eine schwarze Liste. Diese Listen haben normalerweise so verheerende Folgen,
daß die betroffenen Provider der Spammer aktiv werden.
Dazu steht hauptsächlich die Software PGP zur Verfügung. PGP2.6.3in ist von den älteren Versionen die am weitesten entwickelte. Mit einigen Zusatzprogrammen kann man damit auch gut arbeiten. Die Versionen PGP5.x sind zwar leichter zu bedienen, haben aber eine Funktion eingebaut, mit der ein Dritten den Nachrichtenverkehr mitlesen könnte. Das ist zwar nicht einfach, wird aber von PGP5 aktiv unterstützt. Alle PGP Versionen werden durch den kompatiblen Internet Standard OpenPGP abgelöst. Dieser enthält viele Schwachstellen beider Versionen nicht mehr.
Wer verschlüsselt, muß ja dem Gegenüber irgendwie mitteilen, mit welchen Schlüsseln eine Datei codiert wurde. Diese Schlüsselnummer steht immer dabei. Man kann sie benutzen, um eine verschlüsselte Nachricht auch dann wiederzuerkennen, wenn man den Absender oder Empfänger kaum ausmachen kann. Um diese Spur zu verwischen, bietet OpenPGP an, diese Kennung auch weglassen zu können. Die Empfangsseite muß dann zwar mühsam (aber automatisch) probieren, jedoch ist dieser Angriff ausgeschaltet.
Path: news.iks-jena.de!jengate.thur.de!akk.uni-karlsruhe.de!
riemann.iam.uni-bonn.de!fu-berlin.de!newsfeed.pop.de!
news.hamburg.pop.de!not-for-mail
From: h.roth@mail.hh.provi.de (Hermann Roth)
Newsgroups: de.admin.net-abuse.news
Subject: Re: de.admin.net-abuse.news und Netiquette
Date: Thu, 09 Apr 1998 16:04:35 GMT
Organization: privat
Lines: 23
Message-ID: <6girja$j53$5@popnews.hamburg.pop.de>
References: <6e9i9b$nvl$1@goof.de.uu.net> [...]
<6egqdt$2nm$1@seeadler.zwirgel.net>
<351c8848.3159574@news.rrz.uni-koeln.de>
NNTP-Posting-Host: pop230.hh.provi.de
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
X-Newsreader: Forte Agent 1.5/32.451
Dieser Artikel stammt (angeblich) von einem Hermann Roth. Er wurde in die
Usenet-Newsgruppe de.admin.net-abuse.news gepostet, die sich mit dem
Usenetmißbrauch befaßt. Auch hier taucht wieder eine Message-ID auf, die
für mindestens zwei Jahr weltweit eindeutig sein muß. Man kann also mit
dieser ID den Artikel fast immer wiederfinden. Es sei denn, er wurde auf
allen Rechnern gelöscht...
In der References Zeile finden sich die Message-IDs der Artikel, auf die Hermann geantwortet hatte. Fast alle dieser Zeilen kann man fälschen. Einige wenige jedoch nicht.
NNTP-Posting-Host wird normalerweise von dem Newsserver eingetragen, den Hermann genutzt hat. Über 99% aller Fälscher von Artikeln vergessen das oder können es nicht umgehen. Diese Angabe besagt, daß er auf dem Hamburger Einwahlknoten des Providers provi.de den Platz 230 hatte. Diese dynamische Zuordnung kann der Provider leicht auf Rückfrage zur Blick in die Logfiles auflösen. Der Absender ist so ermittelbar.
Die Path Zeile ist das Pedant zu den Received Zeilen der Mail. Sie listet Stück für Stück auf, welche Rechner den Artikel transportiert haben. Der IKS Rechner hat ihn von Jengate, der wiederum hat ihn aus Karlruhe, der ihn aus Bonn, und schließlich über Berlin aus Hamburg. Es zeigt sich auch, daß provi.de eigentlich pop.de ist. Wollte man hier fälschen, so müßte man die Kette fortsetzen. Das ist alles andere als trivial und wird normalerweise schnell entdeckt. Im Zweifel geht man stückweise rückwärts, um den Absender zu ermitteln.
Ein besonderes Schmankerl ist die X-Newsreader Zeile. Er verwendet den Forte Agent, die registrierte Vollversion eines Windows Programmes. Dies besagt nach normalerweise, daß Hermann ein ehrlicher Mensch ist, denn er hat den Preis für die Shareware bezahlt, wie es sich für anständige Menschen gehört. Außerdem benutzt er Windows, also ein PC-System mit der typischen Lemming-Software. Es würde sich lohnen, Ihn für passende Werbesendungen vorzumerken. Schließlich ist er ehrlich, oder?
Referer: https://www.iks-jena.de/mitarb/lutz/anon/linkstat.html# User-Agent: Mozilla/3.01 (X11; U; Linux 2.0.33 i586) Host: nike.rz.uni-konstanz.de:8888 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */* Via: 1.0 www-cache.iks-jena.de:3128 (Squid/1.NOVM.20) X-Forwarded-For: unknown Cache-control: Max-age=2592000In diesem Fall besagt die Ausgabe, daß der Nutzer von der in Referer angegeben Webseite gekommen bin. So ist eine Spurverfolgung über mehrere Rechner kein Problem. Werbung im Web wird über diese Zeile maßgeblich abgerechnet.
User-Agent gibt an, daß eine alte Version von Netscape (Mozilla) auf einem aktuellen Linux mit Pentium-PC und der graphischen Benutzungsoberfläche X11 benutzt wurde. Dies zeigt dem Marketingspezialisten, daß ich gegen den Strom schwimme. Ein komplexeres Betriebssystem im gepflegten Zustand, also Intresse in technischen Belangen. Jedoch an anderen Stellen mäkelig: Nicht die neuste Version. Vermutlich aus gutem Grund, denn das Betriebssystem ist aktuell. Werbung für Windows Produkte ist hier verfehlt, aber so ein paar teure Gadgets könnten auf Interesse stoßen.
Der Zugriff erfolgte über einen WWW-Cache. Die ungewöhnliche Version der Software Squid zeigt, daß der Admin, der dieses System betreut sehr sorgfältig arbeitet. Vermutlich ist also das gepflegte Linux-System auch diesem Admin zuzuschreiben. Dann ist der veraltete Browser ein Zeichen von Schlampigkeit und Widerwillen gegen Technik. Es wäre ratsam, von der Gadget Werbung Abstand zu nehmen.
Der Cache anonymisiert leicht, denn er verrät nicht, für wen er die Anfrage ausführt. Da der Squid noch viel weitergehende Anonymisierungsmöglichkeiten enthält, ist der Admin auf der Hut, aber kommerziellen Interessen erlegen. Eine weitergehende Anonymisierung würde die Marketingspezialisten verärgern.
Ebenfalls auffällig ist, daß keine Cookies auftauchen. Der Nutzer ist also leicht bis schwer paraniod veranlagt, da er dies abgeschaltet hat. Ihm Werbung zuzusenden könnte böse ins Auge gehen.
Besucht ein Nutzer eine Webseite, so bekommt er mit der Antwort der Servers auch eine Information 'X-Set-Cookie: text', die den Webbrowser veranlaßt sich diesen Text zu merken. Verbindet sich der Webbrowser zu einer beliebigen späteren Zeit wieder mit diesem Server, so schickt er ohne Aufforderung diesen Text zurück.
Der Server kann so erkennen, wer sich hier wie über die Informationsmenge bewegt. Damit das übergreifend klappt, wird das Icon von DoubleClick immer vom DoubleClick Server geladen. Mit der Refer: Zeile kann nun DoubleClick eine sehr genaues Kundenprofil erstellen. Kauft man irgendwo ein, oder bestellt sich etwas per Mail, so hat DoubleClick den Personenbezug.
Diese Daten sind für die Direktmarketingagenturen so wertvoll, daß sich die Firmen wie DoubleClick eine goldene Nase verdienen können.
Das Gerücht, Cookies können auch Festplatten zerstören oder ausspionieren ist jedoch falsch.
Fri Apr 17 01:00:15 1998 1 uranus.central.de 7787
/pub/mitarb/lutz/teergrube/teergrube.delay.spammer
b _ o a root@uranus.central.de ftp 0 *
Fri Apr 17 01:44:49 1998 1 rusxppp139.rus.uni-stuttgart.de 2909
/pub/mitarb/lutz/crypt/software/pgp/pgp263in/pgp263in.changes
b _ o a mozilla@ ftp 0 *
Im Logfile kann man schön erkennen, daß ein System sich an die alten
Gepflogenheiten hält und den eMail mitsendet. Das andere jedoch nicht.
Netscape sendet stattdessen die Pseudoadresse 'mozilla@'. Es gibt
mittlerweile auch FTP Server, die auf einer korrekten Adresse bestehen und
diese auch überprüfen. So ist die Adresse von Uranus vermutlich nicht
gefälscht, da die Verbindung von ebenjenem Rechner kam.
Fri Apr 17 10:44:55 1998 2 d120.z194-58-231.relcom.ru 302
/pub/mitarb/lutz/crypt/software/pgp/pgp263in/2.6.3in971006-971007.diff.asc
b _ o a whoever@microsoft.com ftp 0 *
In diesem Fall ist die Fälschung dagegen offensichtlich, oder?
Es gibt immer wieder einige Experten, die es tatsächlich hinbekommen, beim Anmelden auf einem FTP Server ihr wirkliches Systempasswort anzugeben. Sie wurden ja nach einem Passwort gefragt! Man kann sich darüber streiten, ob es eigene Dummheit oder Überforderung ist. Die Gefahr bleibt.
Die zusätzlichen AGBs, die das beschreiben sind in einer defekten PDF Datei, also nicht leicht einsehbar, versteckt.
Auch in den Usenet-News passieren die seltsamsten Dinge. Hier ein
Ausschnitt aus einer Diskussion in de.org.ccc.
From: Corny_K@t-online.de (Nikkon)
Subject: Experiment!
Date: 12 Apr 1998 19:30:25 GMT
Hi
Mich würde mal sehr interessieren was man so auf legaler weise über
mich und meine Daten herausfinden kann.
IP,...
Die Antworten kamen stakkatoartig.
Hmm... mal sehen.
Also, Dein Internet Provider ist schonmal T-Online.
Du benutzt als Nickname das kuerzel "corny_k", und gibst vor, dass Dein
Realname "Nikkon" sei.
Ausserdem hast Du Deine Nachricht am 12. April 1998 geschrieben.
Also Du online warst, warst Du auf Port news02.btx.dtag.de Online. Anhand
der Message ID koennte man dann mit Hilfe der T-Online Logdateien vermutlich
einiges herausfinden.
Aber es geht auch so.
Dein Mailreader ist der "Forte Free Agent" in der Version 1.11/32.235.
Dein Name ist vermutlich Michael Korn.
Deine Adresse ist wohl: Rebbergblick 15, 77960 Seelbach, Schutter.
Die Telephonnummer koennte die 07823 432 sein.
------------------------------
Deine Nachbarn heißen Catharina Kolb, Armin Roth und seine Frau Anne
Roth-Ohnemus. In der gleichen Straße, nur auf der anderen Seite, hat
Dr. Gerhard Baran seine Tierartzpraxis.
------------------------------
DejaNews AuthorProfile verraet noch allerhand mehr ..
Homepage http://home.t-online.de/home/07823432-0001/ noch
schwer im Aufbau ..
Wie die erste Antwort zustande kam, ist bereits erklärt worden, aber wie
geht der Rest? Die Telefonnummer schreibt T-Online automatisch und
zwangsweise in den Nachrichtenkopf!
X-Sender: 07823432-0001@t-online.de
Damit ist es leicht, entweder eine Telefonbuch-CD zu befragen, oder ganz
einfach das Impressum der Homepage abzurufen. Die Nachbarn stehen im
Adressbuch. Man kann sogar auf den sozialen Status schließen, indem man die
Einwohner pro Hausnummer zusammenzählt.
99% de.org.ccc 42% de.newusers.questions 42% fido.ger.win95 36% de.alt.hoerfunk 36% de.rec.tv.misc 30% de.talk.jugend 24% de.alt.geschichten 24% de.alt.radio-scanner 17% de.etc.bahn.eisenbahn 17% de.talk.jokes 11% de.comm.mobil.pager 11% de.etc.bahn.stadtverkehr 11% de.rec.motorroller 11% fido.ger.ccc 11% fido.ger.isdn 11% z-netz.fundgrube.gratis 11% z-netz.rechner.ibm.windows.win95 11% z-netz.telecom.telefon 11% z-netz.wissenschaft.technikEs ist leicht zu sehen, daß die betreffende Person in letzter Zeit vornehmlich in de.org.ccc, de.newusers.questions und win95er Gruppen aufgetaucht ist. Faßt man die Kategorien zusammen, so ergibt sich die Interessenlage zu:
Obwohl die Daten nicht sehr aussagekräftig sind, denn dazu ist eine längere Netzteilnahme notwendig, sollte es doch zum nachdenken anregen. Was wäre, wenn das letzte Ablehnungsschreiben diesen Hintergrund hatte?
DejaNews ist inzwischen über http://www.google.com zu erreichen (Groups).
Neben DejaNews gibt es auch noch viele andere Newsarchive. Die meisten sind nicht öffentlich und werden von Geheimdiensten oder Firmen betrieben. Als Kuriosität gelten die Babylonischen Purpurdaten. Dieses Newsarchiv wird von Ralph Babel im Taunus betrieben. Um Daten aus den Purpurdaten abzufragen, muß man Ralph öffentlich so bedrängen, daß er nur durch Zitieren des gewünschten Artikels die Anschuldigung von sich weisen kann. Normalerweise wird er jedoch nur die Message-ID zitieren. Dann hilft nur noch, hartnäckig zu bleiben.
Das vermutlich am weitesten zurückreichende Archiv liegt bei Heiko Schlichting in Berlin: Als zu Beginn der Neuziger eine Newsverbindung zwischen der TU und der FU aufgebaut werden mußte, fuhr man mit dem Fahrrad Streamerkassetten hin und her. Für diese Exabyte Bänder ist heute jedoch kein Lesegerät mehr aufzutreiben.
Praktische jede geschäftliche Begegnung wird in den ersten Kontakten von derartigen Suchaktionen begleitet. Schließlich möchte man ja nicht an einen Scharlatan geraten. Es ist so einfach, zu suchen... aber die Interpretation ist sehr sehr schwer.
Es kommt häufiger vor, daß man bei der Suche in die Irre läuft. Einige kleinere Firmen gestalten Ihre Webseiten so, daß man auf der Suche nach einer Konkurrenzfirma zu ihnen gelangt. Die Tricks sind einfach, aber wirkungsvoll: Weiße Schrift auf weißem Grund, spezielle Keyword Kopfzeilen auf der HTML Seite etc. pp.
Wenn man in einer bestimmten Situation sich über eine Ablehnung durch einen Geschäftpartner wundert, so sollte man selbst mal schauen, wie die Suchmaschinen das eigene Selbst darstellen. Inzwischen ist das World Wide Web schon so weit kommerzialisiert, daß der Verursacher juristisch belangt werden kann.
Diese juristischen Schritte werden aber vorwiegend gerne von den Haien und Hechten im Geschäft angestrengt. So kann es dem Durchschnittsbenutzer schon mal passieren, daß er eine Abmahnung erhält. Die Gründe können so vielfältig wie dumm sein. Es genügt manchmal schon, einen bekannten Firmennamen (in einem ganz anderen Zusammenhang und keinesfalls mit Hintergedanken) auf der Webseite zu haben. Wenn diese Webseite bekannt ist, also von vielen anderen verlinkt wurde, dann kann sie in der Wertung der Suchmaschine die eigentliche Firmenseiten übertrumpfen. Das läßt sich kaum eine große Firma bieten.
Es gibt allerdings auch Fälle, in denen man vorsätzlich persönlich angegriffen wird. So führen Linksextreme in den USA eine Liste von Leuten, die sie für Nazis halten. Da ich irgendwann einmal in einer Abstimmung für die Newsgruppe rec.music.white-power gestimmt habe (um die Gruppe rec.music.misc zu entlasten), stehe ich auch auf dieser Liste. Gegen Dummheit ist einfach kein Kraut gewachsen. Allerdings können nur wenige Personalchefs das wirklich begreifen. Es bleibt nur die Hoffnung auf einen Generationswechsel in diesen Büros.
Darüberhinaus erhält der Chatserver auch die E-Mailadresse und den Namen. Da diese Daten aber jedem Chatteilnehmer zur Verfügung stehen, ist es selbstverständlich, daß auch hier Firmen diese Daten auswerten.
Deshalb und weil die E-Mailadresse technisch nicht notwendig ist (im Gegensatz zu Mail und News), findet man hier viele gefälsche Adressen. Mit einem Pseudonym sinkt aber gleichzeitig die Hemmschwelle der von der Werbung geköderten Neulinge, so daß das Medium Chat stark verkommen ist. Es geht zu wie im Kindergarten. Da aber die IP Adresse bekannt ist, bleibt die Anonymität im Chat ein Traum.
In den Usenet News sollte man immer daran denken, daß man einem öffentlichen Medium angehört und sich entsprechend verhalten. Will man trotzdem etwas kritisches oder heikles ansprechen, so benutzt man auch hier anonyme oder pseudonyme Remailer.
Wer im World Wide Web richtig nicht alles herausposaunen will, sollte seinen Provider nach einem Anonymisierenden Proxy fragen. Der Squid hat standardmäßig die Einstellungen Anonym Ja/Nein und Paranoid.
Der Text unterliegt nach Abdruck der GNU Public License.
 Zum vorhergehenden Abschnitt |
 Zum Inhaltsverzeichnis |
 Zum nächsten Abschnitt |