<- Datensammler im Porträt Inhalt JonDonym ->

Techniken der Datensammler

Datensammler setzen verschiendene Techniken ein, um Surfer auf ihrem Weg durch das Netz zu verfolgen und diese auf verschiedenen Webseiten wiederzuerkennen. Im Folgenden werden einige Basistechniken zur Datensammlung vorgestellt.

Tracking mit Cookies

Cookies werden eingesetzt, um einen Surfer beim Besuch einer Webseite wiederzuerkennen. Ohne diese Technik wären viele Anwendungen im Web nur aufwendig realisierbar, denn HTTP ist ein zustandsloses Protokoll. Das heißt, dass ein Webserver damit nicht in der Lage ist, Ihnen Ihre vergangenen Anfragen zuzuordnen. Manche Webangebote benötigen jedoch eine Art "Gedächtnis". Ein Beispiel dafür sind Einkaufsportale, bei denen der Webserver sich merken muss, welche Waren sich bereits in Ihrem virtuellen Einkaufswagen befinden. Dieses "Gedächtnis" wird meist mit sogenannten Cookies realisiert. Das sind kleine Textschnipsel, die Ihnen der besuchte Webserver zusammen mit jeder Antwortseite zusendet. Kontaktiert Ihr Browser den Server erneut, schickt er diesem automatisch auch das vorher gespeicherte Cookie mit. Der Server ordnet Ihnen dadurch den richtigen Einkaufswagen zu.

Cookies werden aber auch missbraucht, um Ihre Schritte im Internet zu verfolgen. Diese Technik wird bei Web-Portalen (Yahoo, Facebook), Such­maschinen (Google, Bing) und bei Werbeeinblendungen und Like-Buttons angewendet. Über Cookies können diese Anbieter große Teile Ihres Surfverhaltens über Jahre hinweg aufzeichnen und leicht einen Personenbezug über Ihr "angereichertes" Profil zu Ihnen herstellen. Viele Internet­nutzer haben (ohne es zu wissen) hunderter Cookies von verschiedensten Webseiten gespeichert.

Das folgende Beispiel zeigt die Liste der Cookies, die bei einem einmaligen Aufruf der Seite www.spiegel.de gesetzt wurden:

Cookies von Spiegel.de

Dass Webseiten mehrere externe Werbe- und Tracking-Dienstleister einbinden, ist nicht ungewöhnlich. Der Web Privacy Census der Universität Berkeley von 2012 hat die Top 100 Webseiten analysiert und 6.485 Cookies gefunden (ohne Login). Dabei wurden 5.493 Cookies von Dritten gesetzt, also nicht von der aufgerufenen Webseite. Bei dem Besuch dieser 100 Webseiten wurden mit Cookies Daten an 600 Server übertragen.

Das Blockieren der Cookies von Drittanbietern (wie es bei Firefox ab Version 21 voreingestellt ist) schützt nur teilweise gegen Tracking. Hoch­entwickelte Trackingdienste wie Yahoo! Web Analytics entwickeln immer ausgefeiltere Methoden, um ihre Tracking-Cookies als First-Party Content zu setzen und damit die Preferenzen der User zu umgehen. Einige Beispiel sind in unserem Blogartikel Tracking mit Cookies beschrieben. Über­wiegend kommen dabei folgende Methoden zum Einsatz:

Flash-Cookies

Flash-Cookies (sogenannte LSOs) wurden seit 2005 eingesetzt, um gelöschte Tracking-Cookies wieder­herzustellen. Sie sind unabhängig vom Browser und funktionieren auch, wenn man verschiedene Browser oder Browser­profile für spurenarmes, anonymes Surfen und Fun-Surfen nutzt. Die Firma Clearspring setzte diese Technik erfolgreich ein (bis sie 2010 verklagt wurde) und wirbt damit, präzise Daten von 200 Millionen Internet­nutzern zu besitzen. Ebay nutzt LSOs und begründet deren Einsatz mit einem Sicherheitsgewinn.

Aktuell ist der Trend erkennbar, dass Flash-Cookies seltener eingesetzt werden. Während 2011 noch 37% der TOP100 Webseiten diese Trackingtechnik verwendeten, waren es im Herbst 2012 nur noch 11%.

Da Flash-Applets die Proxy-Einstellungen der Browser umgehen können und einen detailierten Finger­print liefern, sind sie im JonDoFox deaktiviert.

EverCookies

Mehr als 80% der Nutzer lehnen ein Tracking des Surfverhaltens ab. Viele Surfer nutzen Browser-Einstellungen, die langfristiges Tracking mit Cookies verhindern. Werbe- und Tracking­netzwerke gehen deshalb dazu über, ausgefeilte Methoden für die Markierung der Surfer zu verwenden.

Der Informatiker Samy Kamkar demonstriert mit evercookie - never forget Methoden zur individuellen Markierung von Surfern ohne Cookies zu verwenden. Er hat auch den Namen EverCookies für diese Techniken geprägt. Unter anderem demonstriert er folgende Techniken:

Der Web Privacy Census der Universität Berkeley zeigte eine starke Zunahme des Einsatzes von EverCookies. 2011 haben nur 19% der populären Webseiten EverCookie Techniken eingesetzt. Ein Jahr später im Herbst 2012 konnten sie bei 38% der populären Webseiten nachgewiesen werden. Besonders aufgefallen ist die Firma KISSmetrics, die zusätzlich zu Cookies und Flash-Cookies noch ETags aus dem Cache, DOMStorage und IE-userData nutzt, um Surfer eindeutig zu markieren.

Fingerabdruck des Browsers

Der Fingerabdruck des Browsers ermöglicht die Wiedererkennung von Internetnutzern ohne die Verwendung von Markierungen wie Cookies oder EverCookies. Das Demonstrations-Projekt Panopticlick der EFF zeigt, dass mehr als 80% der Surfer anhand des Fingerabdrucks des Browsers eindeutig erkennbar sind. Die Erkennungsrate stiegt auf 94%, wenn ergänzende Informationen mit Flash- oder Java-Applets gesammelt werden können. Die Studie Dusting the web for fingerprinters der KU Leuven (Belgien) untersuchte reales Fingerprinting auf den TOP-Webseiten "in the wild" und entdeckte mehrere Trackingscripte, die Informationen zum Fingerprinting sammeln.

Beim Fingerprinting kommen folgende Methoden zum Sammlen von Informationen zum Einsatz, die auch kombiniert werden können:

Der Fingerabdruck des Browsers wird u.a. von folgenden Trackingdiensten ausgewertet:

Die Konfiguration von JonDoFox setzt einheitliche Werte für HTTP-Header und deaktiviert die Möglichkeiten zur Auswertung ergänzender Informationen. Damit bilden alle Nutzer eine nicht differenzierbare Anonymitätsgruppe.

Cache des Browsers

Über den Inhalt Ihres Browser-Caches kann man auf vorher besuchte und daher im Browser zwischengespeicherte Webseiten schließen. Mit jeder aufgerufenen Webseite wird ein ETag gesendet, welches der Browser im Cache speichert. Wird die Webseite erneut aufgerufen, sendet der Browser zuerst das ETag, um zu erfragen, ob die Seite sich geändert hat. Dieses Tag kann auch eine eindeutige User-ID enthalten. KISSmetrics nutzte diese Technik zur eindeutigen Identifizierung der Surfer. Der Service wurde als Dienstleister auch von Top 100 Webseiten genutzt.

Außerdem ändert sich die benötigte Zeit für das Laden einer Webseite, wenn Teile der Seite bereits im Browser-Cache liegen. Mittels einer geschickten Verteilung der Bilder auf der Webseite, welche jeweils einzeln nachgeladen werden, kann der Webserver den Cache analysieren.

Das Abschalten des Caches hat gravierende Auswirkungen auf die Surfgeschwindigkeit, weshalb wir dies nicht empfehlen. Im JonDoFox ist stattdessen eine Schutzfunktion eingebaut, welche für Inhalte von Drittseiten den Cache umgeht. Außerdem wird der Cache beim Schließen des Browsers automatisch gelöscht. Dadurch kann eine Webseite keine Informationen über andere Seiten gewinnen, sondern nur über sich selbst.

Referer

Ein Referer liefert die Information, von welcher Seite der Surfer zu der aufgerufenen Webseite gekommen ist oder welche Seite er gerade betrachtet (bei der Einblendung von Werbung durch Dritte). Es ist ein geeignetes Merkmal für Tracking mit Werbung, HTML-Wanzen und Like-Buttons.

Die Studie Privacy leakage vs. Protection measures (PDF) zeigt, dass außerdem viele Web­seiten private Informationen via Referer an Tracking­dienste übertragen. Im Rahmen der Studie wurde 120 populäre Webseiten untersucht. 56% der Webseiten sendeten nach dem Login private Informationen wie E-Mail, Name oder Wohnort an Trackingdienste. Das folgende Beispiel zeigt den Aufruf eines Werbebanners nach dem Login auf der Webseite http://sports.com GET http://ad.doubleclick.net/adj/....
Referer: http://submit.sports.com/...?email=name@email.com
Cookie: id=123456789.....

Mit einer eindeutigen ID (im Beispiel ein Tracking-Cookie) kann das Surfverhalten über viele Webseiten verfolgt werden. Durch zusätzliche Informationen im Referer (im Beispiel eine E-Mail Adresse) werden die gesammelten Datensätze personalisiert.

Der JonDoFox entfernt den Referer beim Wechsel der Domain und löscht außerdem alle Parameter aus gesendeten Referern beim Surfen innerhalb einer Domain. Innerhalb einer Web-Domain empfehlen wir das komplette Löschen des Referers nicht, da einige Webseiten dann nicht mehr wie erwartet funktionieren und ein Webserver immer die Möglichkeit hat, das Surfverhalten innerhalb der eigenen Domain zu verfolgen.

Risiko JavaScript

JavaScript ermöglicht es, eine Vielzahl von Informationen über den Browser, das Betriebssystem und Ihre Hardware auszulesen und an Webserver zu übertragen. Diese Informationen können einen eindeutigen Fingerabdruck des Nutzers ergeben (siehe oben), so dass er leicht wiedererkannbar ist. Außerdem können EverCookies mit Javascript zur Markierung des Browsers gesetzt werden. Unser Anonymitätstest zeigt bei aktiviertem JavaScript eine kleine, unvollständige Auswahl der Dinge, die ausgelesen werden können, und demontriert die Markierung mit EverCookies.

Mit Hilfe von bösartigen Skripten ist es außerdem möglich, Fehler im Browser auszunutzen und den Rechner zu kompromittieren. Angreifer nutzen beispielsweise Cross Site Scripting, um bösartigen JavaScript-Code im Browser des Surfers zur Ausführung zu bringen. Das Ziel besteht meist darin, Login-Daten für Bankkonten o.Ä. auszuspähen. Bösartige Scripte können auch direkt auf dem Webserver platziert werden. Das FBI nutzte im August 2013 bösartige Javascripte, die auf Tor Hidden Services platziert wurden, um durch Ausnutzung eines Bug im Firefox einen Trojaner zu installieren und Nutzer des Anonymisierungsdienstes zu deanonymiseren.

Wir empfehlen deshalb, JavaScript-Inhalte nur bei Notwendigkeit und für wirklich vertrauenswürdige Webseiten in Ihrem Browser zu aktivieren.

Risiko Plug-ins

Für die Darstellung von zusätzlichen Inhalten, die nicht im HTML-Standard definiert sind, werden Plug-ins genutzt. Populär sind Plug-ins für die Anzeige von PDF-Dokumenten oder Flash Videos im Browser. Die Nutzung dieser Plug-ins ist jedoch ein Sicherheitsrisiko. Nach Beobachtung des Sicherheitsdienstleisters Symantec und ScanSafe erfolgen 50% Angriffe aus dem Web mit präparierten, bösartigen PDF-Dokumenten (Stand: 2009, Tendenz: steigend). Die Angriffe nutzen häufig Lücken im Adobe PDF-Reader Plug-in und laden die präparierten PDF-Dokumente als "drive-by-download" unbemerkt im Hintergrund. So gelang es z.B. dem Trojaner MiniDuke in die Computer von Regierungsorganisationen in Deutschland, Israel, Russland, Großbritannien, Belgien, Irland, Portugal, Rumänien, Tschechien und der Ukraine einzudringen.

Java, ActiveX und Silverlight machen das Web dynamisch und bunt - aber auch gefährlich. Sie erlauben Webseiten, Code auf Ihrem Rechner auszuführen. Wenn sie ausgeführt werden, können diese Plugin-Inhalte einige Details Ihrer Rechner- und Netzwerkkonfiguration auslesen und an den Webserver senden. Mithilfe einiger Tricks können diese Plug-ins auf Ihrem Rechner Dateien lesen und ändern und im Extremfall die vollständige Kontrolle über den Rechner übernehmen. Außerdem können Plug-ins die Proxy-Einstellungen des Browsers umgehen und Sie damit trotz Nutzung von JonDonym deanonymiseren.

Vorsicht ist vor allem bei signierten Java-Applets geboten: Wenn Sie deren Signatur akzeptieren, hat das Applet und damit auch der besuchte Web-Server automatisch alle Benutzerrechte auf Ihrem Rechner. Er kann also insbesondere Ihre IP-Adresse, Ihre MAC-Adresse, weitere Details Ihrer Rechner- und Netzwerkkonfiguration und sogar Festplatteninhalte auslesen. Der (Staats-) Trojaner der Firma HackingTeam wird beispielsweise mit einer signierten JAR-Datei auf dem Zielsystem installiert. Der Trojaner belauscht Skype, fängt Tastatureingaben ab, kann die Webcam zur Raumüberwachung aktivieren und den Stand­ort des Nutzers ermitteln.

Nur das Deaktivieren aller Plug-ins im Browser bringt Sicherheit.

History-Sniffing

Eine empirische Untersuchung der Top 50.000 Webseiten weist nach, dass ca. 1% dieser Webseiten Informationen über den Surfer durch History-Sniffing sammelten (Auslesen der besuchten Webseiten). Mit aggressiven JavaScripten oder CSS-Tricks werden die zuvor besuchten Webseiten ausge­wertet. Für kleinere Webseiten bieten Tealium oder Beencounter die Dienstleistung an, in Echtzeit die zuvor besuchten Webseiten zu liefern.

Diese Informationen können nicht nur für die Auswahl passender Werbung genutzt werden. Ein Experiment des Isec Forschungslabors demonsriert, dass diese History-Daten zur Deanonymisierung genutzt werden können. Anhand der Browser History wurden die Gruppen bei Xing ermittelt, welche der Surfer besucht hat. Da es kaum zwei Nutzer gibt, die zu den gleichen Gruppen gehören, konnte eine Deanonymiserung erfolgen und Realnamen sowie E-Mail Adressen einfach durch Aufruf einer beliebigen präparierten Website ermittelt werden.

Gegen eine Analyse des Browserverlaufes gibt es seit Firefox 4 einen eingebauten Schutz, so dass man diesen nicht mehr abschalten muss.

Webbugs, Werbebanner und Like-Buttons

Sehr wahrscheinlich finden Sie von Datensammlern wie ivwbox.de (INFONLINE), doubleclick.com, advertisement.com oder Google sogar dann ein oder mehrere sogenannte Cookies in Ihrem Browser, wenn Sie deren Webseiten niemals besucht haben. Dies liegt daran, dass diese Unternehmen auf anderen Webseiten einen einfachen Trick benutzen, um Ihnen dennoch Cookies unterzuschieben und Ihr Surfverhalten zu beobachten: sie betten Werbung, Webbugs oder Like-Button vom eigenen Server in viele Webseiten ein.

"Webbugs" sind üblicherweise Bilder von 1x1 Pixeln und damit für den Betrachter unsichtbar. Sie können alternativ aber auch über sichtbare, in eine Webseite eingebettete Werbebanner realisiert werden. Die Webseite, welche Sie gerade besuchen, enthält ein Bild (Webbug), das vom Server eines Statistikdienstes (etwa Doubleclick, Google Analytics) nachgeladen wird. Dadurch kann der Statistikdienst in Ihrem Browser unbemerkt ein Cookie setzen. Dieses Cookie schickt der Browser nun mit jeder neuen Anfrage nach Seiten, in denen ein Webbug des Statistikdienstes eingebettet ist, wieder an diesen zurück. Wenn der Statistikdienst auf vielen Webseiten eingesetzt wird, kann er nun große Teile Ihres Surfverhaltens verfolgen.

Eine andere unangenehme Eigenschaft von Webbugs ist, dass sie beim Abruf neben Cookies auch Ihre IP-Adresse automatisch an den Statistikdienst übermitteln. Selbst mit einer sehr guten Browserkonfiguration, dem Abschalten von Cookies und automatischen Webbug-Filtern können Sie dies niemals zuverlässig verhindern. Dagegen hilft nur die Verwendung eines Anonymisierungsdienstes, wie JonDonym.

TCP-Zeitstempel

Das Transmission Control Protocol (TCP) ist ein Protokoll zur Datenübertragung zwischen Computern. Es ist notwendig für eine Reihe von Internetdiensten wie http (WWW), smtp (E-Mail) und ftp. Wenn beispielsweise Ihr Rechner eine Anfrage nach einer Webseite schickt, werden diese Daten innerhalb vieler kleiner sogenannter TCP-Pakete versendet. Neben diesen Daten enthält ein solches TCP-Paket auch einige optionale Informationsfelder (optionale Header). Eine dieser Optionen ist der TCP-Zeitstempel. Der Wert dieses Zeitstempels ist proportional zur aktuellen Zeit auf Ihrem Computer, und wird gemäß der internen Uhr Ihres Rechners automatisch erhöht.

Der Zeitstempel kann vom Client- und/oder Server-Gerät zur Performanceoptimierung eingesetzt werden. Jedoch kann ein Internetserver Ihren Computer anhand der Zeitstempel wiedererkennen und verfolgen: Indem er die Abweichungen in der Uhrzeit misst, kann er ein individuelles Zeit-Versatz-Profil für Ihren Computer berechnen. Außerdem kann er die Zeit schätzen, zu der Ihr Rechner zuletzt neu gestartet wurde. Diese Tricks funktionieren sogar dann, wenn Sie Ihre Internetverbindungen ansonsten perfekt anonymisiert haben.

Wenn Sie JonDonym verwenden, sind Sie jedoch davor geschützt, auf diese Weise beobachtet zu werden. Denn JonDonym-Mixe ersetzen Ihre potenziell unsicheren TCP-Pakete automatisch durch ihre eigenen.

IP-Adresse

Die IP-Adresse (z.B. 121.56.22.136) erhält Ihr Rechner oder Ihr Router automatisch bei der Interneteinwahl von Ihrem Provider zugewiesen. Dieser speichert sie oft zusammen mit Ihren Kundendaten und Ihrer Online-Zeit monatelang. Sie ist Ihre eindeutige Kennung im Internet, die immer mitgesendet wird, wenn Sie eine direkte Verbindung zu einem Internetdienst aufbauen. Anhand der IP-Adresse erkennt der Webserver, an wen er die Antwort zurücksenden muss. Solange Ihre IP-Adresse sich nicht ändert, lässt sich damit gut nachverfolgen, zu welcher Zeit sie welchen Webseitenbetreiber kontaktiert haben.

Die IP-Adresse offenbart außerdem:

Einen Teil der Informationen, die Ihre IP-Adresse und Ihr Browser über sie verraten, können Sie mit dem IP-Check einsehen.

Während sich die bisher genannten Surf-Spuren ohne spezielle Server-Dienste verwischen lassen, ist dies bei Ihrer IP-Adresse nicht ganz so einfach möglich. Deswegen wurde die Software JonDo entwickelt: Um den Zusammenhang zwischen Ihrer IP-Adresse und den von Ihnen besuchten Webseiten zu verschleiern, stellt JonDo eine Verbindung zu dem Dienst JonDonym her. Dieser schaltet die Server verschiedener Organisationen zwischen Ihren Rechner und das Internet. Sie surfen dann jeweils mit der IP-Adresse des letzten Servers in einer Kette/Kaskade mehrerer sogenannter Mix-Server. Die von Ihnen übertragenen Daten werden dabei für jeden Mix-Server einzeln verschlüsselt und in Größe und Reihenfolge leicht verändert, so dass niemand Ihren Datenstrom belauschen oder erraten kann. Sie sind damit auch für den Fall geschützt, dass einzelne (aber nicht alle) Betreiber gehackt, bestochen, bedroht oder anderweitig zur Beobachtung Ihrer Zugriffe gezwungen werden.

MAC-Adresse

Die MAC-Adresse (MAC=Media-Access-Control, manchmal auch Ethernet-ID, Airport-ID oder physikalische Adresse genannt) ist die Hardware-Adresse jedes einzelnen Netzwerkgerätes. Jeder Rechner kann über mehrere solcher physischer oder virtueller Netzwerkgeräte verfügen (kabelgebunden (LAN), drahtlos (WLAN), mobil (GPRS, UMTS), virtuell (VPN), ...). Die MAC-Adresse dient zur eindeutigen Identifizierung des jeweiligen Geräts in einem lokalen Rechnernetz. Im Internet wird sie nicht benötigt und nicht übertragen. Auch Ihr Zugangsprovider kann sie nur dann sehen, wenn Ihr Rechner nicht über einen Router, sondern direkt mit dem Internet verbunden ist, etwa über ein Modem. Da Ihr Provider Sie ohnehin an Ihren Zugangsdaten wiedererkennt, ist dies jedoch kein Nachteil für Ihre Privatsphäre. Die MAC-Adresse lässt sich außerdem selbst ändern.

<- Datensammler im Porträt Inhalt JonDonym ->