Ebenso gibt es unzählige Foren im Internet, in denen man seine Meinung äussern kann. Dummerweise aber haben die Server, auf denen das Geschriebene gespeichert wird, ein längeres Gedächtnis als das richtige Leben. Mal ehrlich: Wer möchte schon mit manchen seiner Äusserungen konfrontiert werden, die schon über 10 Jahre zurückliegen, im Affekt gemacht wurden oder ganz einfach deshalb überholt sind, weil man die Meinung inzwischen geändert hat? Man muss nicht gerade in die Zwickmühlen der Justiz geraten, um die Nachteile solcher auf lange Zeit gespeicherten Aussagen zu erkennen.

Manche Unternehmen gehen sogar bereits dazu über, bei Stellenausschreibungen ein Online-Profil der Bewerber erstellen zu lassen. Einfacher ausgedrückt: die Firmen recherchieren mit Suchmaschinen nach Spuren eines Bewerbers im Internet. Ein paar unbedachte Äusserungen, im Gästebuch einer Web-Seite oder in einem öffentlichen Forum hinterlassen, können einem dann die Aussicht auf eine Anstellung gründlich verhageln. Wer des Öfteren namentlich an solchen Foren teilnimmt, sollte einmal mit einer Suchmaschine danach fahnden und die dort gefundenen Beiträge aus der Sicht einer Personalabteilung oder einfach einmal aus der Sicht des eigenen Nachbarn betrachten…

Es ist also vorteilhaft, im Internet seine persönlichen Ansichten nicht unter seinem eigenen Namen publik zu machen oder per Mail zu versenden, sondern diese entweder möglichst anonym zu verbreiten oder, falls die Kommunikation über Mail stattfindet, diese in angemessener Form zu verschlüsseln. Es gibt mittlerweile staatliche Behörden und natürlich auch Geheimdienste, die den öffentlichen Mailverkehr an Knotenpunkten gezielt überwachen und auf verwertbare Inhalte untersuchen. Dabei sind nicht nur “Staatsfeinde” von Interesse, gerade auch der Anteil an Wirtschaftsspionage nimmt stetig zu.

Zu guter Letzt gibt es im Internet natürlich auch sogenannte “Hacker”, die in der Lage sind, unbemerkt auf persönliche Daten auf der eigenen Festplatte zuzugreifen oder diese sogar zu zerstören.

Diese Webseite soll etwas zur Verbesserung der Sicherheit und dem Schutz der Privatsphäre im Internet beitragen.

Jeder Browser legt die Informationen in den Cookies auf unterschiedliche Weise auf der Festplatte ab. Während der Netscape Navigator beispielsweise alle Informationen in einer einzelnen Datei abspeichert, legt der Internet Explorer die Cookies als einzelne Dateien in einem Verzeichnis namens Cookies an, das sich je nach Windows-Version an unterschiedlichen Orten befinden kann. Mit einem Texteditor ist eine solche Cookie-Datei leicht einzusehen:

• WEBTRENDS_ID -2257930192.29358898
• 202.155.27.16
• -2257930192.29358898
• facelink.snap.com
• 0 2865430528 30123157 1534254528 29358607 *

Auf den ersten Blick muten die Informationen in einem Cookie meist etwas kryptisch an, aber man erkennt darin neben der IP Adresse des Internetteilnehmers noch die Adresse, von welcher Webseite der Cookie stammt, denn schließlich muß der Browser ja auch wissen, wem die darin enthaltenen Informationen zugänglich sein dürfen. Denn selbstverständlich werden die Informationen ja nicht nur auf der Festplatte abgelegt, sondern bei dem nächsten Besuch der entsprechenden Webseite vom Betreiber auch wieder abgefragt.

Aha. Der Inhalt eines Cookies wird also wieder an den Betreiber der Webseite zurückgesendet. Damit stellt sich die Frage, was an diesen Informationen so wertvoll ist, wenn der Webmaster sie wieder auslesen will?

In erster Linie möchten die Betreiber einer Webseite die Besucher wiedererkennen. Deshalb wird dem Besucher beim Betreten einer Seite unbemerkt ein unsichtbarer Zettel in Form eines Cookies auf die Stirn geklebt und der Surfer mit einer eindeutigen Kundennummer versehen, um ihn bei einem späteren Besuch wieder zu identifizieren.

Angenehm ist das, wenn man sich somit z.B. das umständliche Eingeben eines Passwortes beim Betreten eines geschützen Bereiches erspart oder wenn man Wert darauf legt, auf einer Webseite namentlich begrüßt zu werden. Somit sind Cookies eigentlich eine feine Sache, denn geschickt eingesetzt ermöglichen sie einen persönlicheren Service und mehr Bequemlichkeit für den Besucher.

Diese Bequemlichkeit kann aber sehr schnell zu einem Sicherheitsproblem werden, falls noch andere Benutzer Zugriff auf diesen Rechner haben und sich die in einem fremden Cookie gespeicherte Information dazu benutzen, um sich damit unberechtigt Zugang zu fremden Accounts zu verschaffen. Das Vorhandensein des entsprechenden Cookies auf der Festplatte genügt bereits, um sich gegenüber dem Webserver als eine bestimmte Person zu identifizieren. Deshalb sollte man vor allem in Firmen oder beim Besuch in Internetcafes darauf achten, seine erzeugten Cookies wieder angemessen zu entsorgen, falls man sich mit seinen persönlichen Daten auf einer Webseite angemeldet hat. Am Besten geht das durch Abmelden (Logout) von der entsprechenden Seite oder dem manuellen Löschen der Cookie-Dateien. Es mag sein, daß es Menschen gibt, die sich nicht für den Mailaccount anderer Leute interessieren, aber durch das “Vergessen” eines Cookies kann sich dann jeder bei dem entsprechenden Mailservice anmelden und dort fremde Mails lesen

Schlimmer wäre natürlich, wenn irgendein Scherzbold nun auf die Idee käme, die dort lagernden Mails nach seinen persönlichen Ansichten entsprechend zu beantworten (wobei man anschließend seinen Freunden oder Kollegen sehr viel zu erklären hätte) oder sogar das Passwort des Accounts ändert und dieser somit für den eigentlichen Besitzer unbrauchbar wird. Um sich Cookies mit solchen persönlichen Login-Daten von einem fremden Rechner anzueignen, reicht vollkommen, die entsprechenden Cookie-Dateien auf eine Diskette zu kopieren. Da manche Webmaster recht sorglos sogar Passwörter im Klartext in Cookies speichern, kann man diese mit einem einfachen Texteditor wieder auslesen.

Wie funktionieren Cookies?

Es gibt für Webmaster verschiedene Methoden, einen Cookie auf der Festplatte eines Surfers abzulegen. Meist geschieht das durch kleine Scripts, die einen Browser dann dazu veranlassen, ein Cookie zu generieren. Im Gegensatz zum Erstellen gibt aber nur einen Weg, den Inhalt der Cookie-Datei anschließend wieder auszulesen: Die darin enthaltene Information wird über den Browser an die entsprechende Webseite zurückgesendet. Dies geschieht über den sogenannten Header – das ist nichts weiter als die Adreßzeile des Browsers, in der ja nicht nur eine URL übertragen werden kann, sondern über die der Browser auch Informationen verschickt.

Nebenbei gibt es übrigens auch mehrere Arten von Cookies, die sich in ihrer Lebensdauer voneinander unterscheiden, nämlich solche, die nur zeitlich befristet existieren und die permanenten Cookies, die dauerhaft auf der Festplatte verbleiben. Die Begrenzung der Lebensdauer von Cookies ist vor allem deshalb wichtig, weil sich mittlerweile die Unsitte verbreitet hat, neuen Besuchern einer Seite ohne viel zu fragen grundsätzlich erst einmal ein Cookie unterzujubeln. Selbst wenn man diese Webseite dann nie wieder besuchen wird, sammelt sich so eine nicht unbeträchtliche Anzahl wertloser Dateien, die dann bis ans Ende ihrer Tage auf der Festplatte rotieren, sofern sie vom Benutzer nicht gelegentlich manuell entsorgt werden.

Kontrolle über Cookies

Während vor einigen Jahren die Datenschützer, die Bedenken über die von den Cookies ausgehenden Gefahren geäussert hatten, eher belächelt wurden, gibt es mittlerweile eine stattliche Anzahl von Tools, um die Cookie-Plage in den Griff zu bekommen und die eine Kontrolle darüber erlauben, von welchen Webseiten Cookies akzeptiert werden. Die bekanntesten dieser Programme sind sicherlich Cookie-Pal, Cookie Crusher und natürlich auch Firewall-Programme wie z.B. ATGuard oder Norton Internet Security. Auch sogenannte Webfilter, die primär dem Entfernen von Werbung dienen, bieten dem Surfer mittlerweile Kontrollmöglichkeiten über das Akzeptieren von Cookies.

Neuerdings haben sogar die Hersteller der Browser erkannt, daß die Verbraucher keineswegs die unkontrollierte Vermehrung von Cookies akzeptieren und bieten in den neueren Versionen ein Management für Cookies an.

Was ist an Cookies aber nun so gefährlich ?

Na schön. Cookies können also Namen, Interessengebiete, Datum eines Besuchs, Kundennummern oder sogar Passwörter auf der heimischen Festplatte speichern und dem Betreiber einer Webseite später wieder zur Verfügung stellen. Das ist bei einem PC, der zuhause steht, eigentlich nicht weiter tragisch, denn ein Browser kann, von diversen Tricks einmal abgesehen, die Cookies nur an solche Webseiten wieder zurücksenden, von denen er erzeugt wurde. Und das auch nur, wenn man sich gerade in diesem Augenblick auf dieser Webseite befindet. Schlimmer wäre da schon, wenn die Cookies mit den verräterischen Kundennummern auch anderen Webseiten zur Verfügung stehen würden.

Hmm…

An dieser Stelle sollte man sich einmal seine eigene Cookie-Sammlung mit einem Dateimanager oder einem entsprechenden Cookie-Verwaltungsprogramm betrachten. Hier finden sich auch Cookies mit merkwürdigen Namen bzw. Webadressen, an deren Besuch man sich beim besten Willen nicht mehr erinnern kann. Wenn man einmal davon ausgeht, daß diese Cookies nur von Webseiten angelegt und wieder gelesen werden können, auf die man mit seinem Browser zugreift, dann scheint es zunächst unerklärlich, wo diese Cookies herkommen.

Die Erklärung dafür ist ebenso einfach wie verblüffend: enthält eine Webseite eine Grafik, die von einer anderen Webseite stammt, dann darf auch der Server dieser fremden Seite Cookies lesen und schreiben. Die Sicherheit der Browser ist damit komplett ausgehebelt. Meist handelt es sich dabei um Werbefirmen, die dem Betreiber einer Webseite einen geringen Betrag dafür bezahlen, daß sie ihre Werbebanner auf deren Seite anbringen dürfen.

Diesen fiesen Trick nennt man Web Bug und er ermöglicht es Dritten, den weiteren Weg eines Surfers durch das Internet zu verfolgen, sofern er dabei gelegentlich wieder auf Webseiten stößt, die ebenfalls Web Bugs des gleichen Servers enthalten. Spätestens hier sollte jedem klar sein, dass Cookies nun doch nicht die kleinen, harmlosen Kekse sind, sondern ein gezieltes Tracking des Surfers erlauben.

Technisch gesehen ist ein Web Bug eigentlich eine recht einfache Sache. Statt eine Grafikdatei auf dem gleichen Server abzulegen, auf dem eine Webseite läuft, zeigt die URL des Bildchens auf einen völlig anderen Server, der somit ebenfalls in die Lage versetzt wird, beim Besucher ein Cookie anzulegen. Da auf jedem Webserver zudem ein Protokoll in einer Log-Datei erstellt wird, wird so nebenbei auch die IP Adresse des Surfers erfaßt und gespeichert..

Interessanterweise muß das Bild, das hinter diesem Web Bug steckt, für den Surfer nicht einmal sichtbar sein. Es genügt ein transparentes Bild im Gif-Format oder Bilder von 1×1 Pixel Größe, die von den Webdesignern übrigens auch gerne dazu benutzt werden, um ihre Seiten korrekt zu formatieren. Ich habe hier einmal ein solches unsichtbares Bild eingefügt, aber selbstverständlich enthält es keinen Web Bug.

Für die Werbefirmen sind Web Bugs eine praktische Sache, denn im Gegensatz zu herkömmlicher Werbung läßt sich durch den Zugriff auf deren Webserver stets genau ermitteln, wie oft eine Bannerwerbung abgerufen bzw. betrachtet wurde. Verbindet man diese Web Bugs mit Cookies, sind Werbefirmen dann auch in der Lage zu bestimmen, von wem eine Webseite bzw. die darauf enthaltene Werbung betrachtet wurde und damit die Surfer in Zielgruppen einzuteilen. Durch dieses Monitoring wird eine unmittelbare Erfolgskontrolle über die geschaltete Werbung möglich und ein lang gehegter Wunsch der Werbeindustrie plötzlich wahr: Der gläserne Verbraucher.

Wer sich dafür interessiert, wie dieses System funktioniert, kann sich bei privacy.net im Rahmen eines kleinen Tests aus mehreren populären Web-Seiten gezielt solche Werbecookies aussuchen und sich anschliessend bei einem Internet-Service “registrieren”. Auf dem anschliessend erstellten Bewegungsprofil werden dann ausführlich die bisher besuchten Web-Adressen aufgelistet. Man sollte dabei bedenken, dass es sich bei dem von Privacy.net angebotenen Testformular ausnahmsweise nur um ein einziges Feld handelt, in das man lediglich ein einzelnes Wort eingeben kann. In der Realität werden in den “echten” Formularen natürlich wesentlich mehr Angaben verlangt.

Als Krönung dieses Tests kann man sich per Mail im HTML-Format einen Web Bug zusenden lassen, der in dem Augenblick, in dem man die Mail öffnet, eine Information an den Server zurücksendet und einen Cookie auf der Festplatte anlegt. Das Öffnen der Mail muss natürlich online erfolgen. Dieses Verfahren könnte man beispielsweise dazu benutzen, um eine Mail an einen bekannten Empfänger zu versenden. Beim Lesen werden dann unbemerkt Datum, Uhrzeit und die IP-Adresse auf dem Webserver protokolliert, von dem die Grafikdatei abgerufen wird.

Somit kann man kontrollieren, wann ein Empfänger seine Mail liest und ob er anschliessend eine bestimmte Webseite besucht, sofern diese ebenfalls wieder den gleichen Web Bug enthält. In der Mail von Privacy.net ist der Web Bug eindeutig zu identifizieren, aber das Ausspähen könnte natürlich auch unbemerkt erfolgen, wenn der Web Bug ein transparentes Bild enthält und somit vom Leser der Mail unbemerkt bleibt.

Beliebt sind diese Mails vor allem bei den Versendern von Newslettern oder bei Werbefirmen, die damit eine Kontrolle darüber haben, ob ihre Mails beachtet werden und ob der Leser dem Angebot folgt. Das bedeutet zwar nicht gleich den Weltuntergang, aber sympathisch erscheint eine solche Überwachung sicher nicht, zumal es ohne Wissen des Empfängers geschieht.

Nicht nur moderne Mailprogramme kommen mit HTML und damit auch mit Web Bugs zurecht, sondern auch in moderne Dokumentenformate wie z.B. Word-, Access-, Excel- und Powerpoint-Dateien lassen sich Web Bugs einbetten. Dies ist aber kein Microsoft-spezifisches Problem, sondern kann bei jedem Dokumentformat auftreten, solange es nur in der Lage ist, HTML-Code zu verarbeiten. Verschickt man dann diese präparierten Dokumente per Mail, so läßt sich jederzeit kontrollieren, wann, wie oft und von welcher IP Adresse das Dokument geöffnet wurde. Vor allem in Firmennetzwerken sind natürlich die IP Adressen der Rechner meist mit einer Person oder einer Abteilung verknüpft. Wenn nun beispielsweise die Geschäftsleitung ein vertrauliches Dokument an die Buchhaltung versendet, so läßt sich durch eine Überprüfung der IP Adressen der Empfänger leicht feststellen, ob die Information auch von Unbefugten gelesen wurde.

Mit dieser Methode lassen sich dann auch schnell Verstöße gegen das Copyright feststellen, falls ein Dokument ohne Erlaubnis des Autors weitergegeben wurde. Verfeinern läßt sich diese Methode noch, wenn man die Dokumente mit individuellen Web Bugs ausstattet und sie den Empfängern namentlich zuordnet. So läßt sich schnell feststellen, wo die undichte Stelle bei der Verbreitung von vertraulichen Informationen zu finden ist, weil die unerlaubt verbreitete Version beim Öffnen immer exakt die Grafik auf dem Server des Absenders abrufen wird, die dem Empfänger zugeordnet ist, der das Dokument ursprünglich einmal erhalten hat.

Immer mehr Homepages im Internet bieten ihren Besuchern mittlerweile kostenlose und werbefinanzierte Dienste an und naturgemäß steigt damit nicht nur die Anzahl der geschalteten Werbungen, sondern auch die Anzahl der Werbefirmen, die mit Web Bugs arbeiten. Meist sind auf den populären Webseiten auch gleich Web Bugs von mehreren Werbefirmen eingebaut. Eine der bekanntesten und größten Firmen, die auf diese Art werben ist z.B. Doubleclick, die nach Angaben des Geschäftsführers Arndt Groth in Deutschland im Moment noch keine Cookies einsetzt, sondern damit noch wartet, bis die Akzeptanz der Surfer gegenüber dieser Form des Monitoring etwas größer ist. In Anbetracht der Geographie des Internets ist diese Aussage für deutsche Verbraucher aber recht bedeutungslos, da man sich im Internet natürlich nicht innerhalb der Grenzen eines Landes bewegt, sondern mit wenigen Mausklicks auf Webserver in aller Welt weitergeleitet wird. Die amerikanische Muttergesellschaft Doubleclick und ähnliche Werbefirmen arbeiten dagegen schon längst mit Cookies.

Es ist damit zu rechnen, daß die Online-Werbung förmlich explodieren wird und wenn die Firma Doubleclick erklärt, daß das geschätzte Volumen von Online-Werbung in Deutschland von ca. 400 Millionen Mark im Jahr 2000 auf auf über 4 Milliarden Mark in lediglich 10 Jahren ansteigen wird, ist diese Prognose noch eher untertrieben. Durch das Wachstum der Werbung wird auch verstärkt der Wunsch nach einer gezielten Kontrolle über die Verbraucher entstehen, welcher durch Web Bugs befriedigt werden kann.

Laut Arndt Groth verzichtet Doubleclick übrigens auf den Einsatz von sogenannten Data Spills, welche dazu benutzt werden können, um die in Webformularen enthaltenen Angaben unbemerkt an Dritte zu übermitteln. Registriert man sich beispielsweise namentlich bei einem Web Service wie etwa bei einem Internet-Shop, einem Mail-Service oder in einem Diskussionsforum, so ist es durchaus möglich, die dort ausgefüllten persönlichen Daten auszulesen und mit Hilfe von Web Bugs und Cookies mit einem Surfer zu verbinden, solange der Cookie auf der Festplatte existiert. In solchen Formularen werden neben den üblichen Angaben wie z.B. dem Namen, Mailadresse, Straße und Wohnort auch gerne sehr persönliche Fragen gestellt, wie z.B. dem Alter, Geschlecht, persönliche Vorlieben, Hobbies, Anzahl der Kinder, Schulbildung, Beruf, Arbeitgeber und nicht zuletzt dem durchschnittlichen Haushaltseinkommen.

Das sind recht brisante Daten, wenn sie durch Data Spills übermittelt und im Zusammenhang mit den in Cookies gespeicherten Kundennummern in Form von Web Bugs den Werbefirmen wieder zugänglich gemacht werden. Auch wenn die Firma Doubleclick nach eigenen Angaben diese Techniken zur Identifizierung der Surfer nicht benutzt, gibt es doch eine stattliche Anzahl von Werbefirmen, die sich bisher dazu noch nicht eindeutig geäußert haben. Die ganze Tragweite dieses Verfahrens wird vielleicht etwas deutlicher, wenn die anschließend besuchten Seiten einen Rückschluß auf die eigene Persönlichkeit zulassen. Darunter fallen sicherlich Seiten, die sich mit Alkoholismus, Krankheiten wie beispielsweise HIV oder extremen sexuellen oder politischen Ansichten beschäftigen. Spätestens hier wird klar, daß damit eine technische Möglichkeit der unbemerkten Überwachung von Surfern gegeben ist, die nicht nur für Werbefirmen, sondern auch für staatliche Behörden von Interesse sein kann.

Wozu soll das gut sein ? Die Programmierer von Shareware wählen manchmal diesen Weg der Finanzierung, um einen Teil der Unkosten für das Erstellen der Software wieder hereinzuholen. Dabei nehmen sie billigend in Kauf, dass der PC des möglichen Kunden mit Spionagesoftware verseucht wird, die dann unbemerkt Informationen an den Hersteller der Spyware übermittelt. Der als Timesink bekannte Schmarotzer ist sogar in der Lage, sich selbständig ins Internet einzuwählen und sich so zum Hersteller Conducent zu verbinden. Der Name Timesink bedeutet übrigens frei übersetzt “Zeit-Abfluss” und ist noch eine eher harmlose Bezeichnung für dieses Ärgernis.

Auch die deswegen in Kritik geratene Firma Radiate weiss natürlich, dass ihre Produkte in der Öffentlichkeit nicht auf Gegenliebe stossen und hat deshalb auch vorsichtshalber den Namen gewechselt, um nicht mehr mit dem Aureate-Parasiten in Verbindung gebracht zu werden. Auch wenn die Hersteller von Spyware niemals müde werden, zu betonen, dass dabei keine persönlichen Daten übertragen werden, haben solche Schmarotzerprogramme nichts auf unserem PC verloren. Wir betreiben ja schliesslich keine Telefonzelle für an Heimweh leidende Programme…

Wer also schon öfter einmal Shareware auf seinem Rechner installiert hat, sollte sich unbedingt das Programm Ad-Aware herunterladen und damit seinen Rechner prüfen.

Für weitere Informationen über Spyware empfiehlt sich stets ein Besuch auf der Web-Seite von Steve Gibson, von dem übrigens auch das Programm Optout stammt, mit dem man ebenfalls Werbeparasiten entfernen kann.

Phonehome

Während man Spyware beispielsweise mit Ad-Aware recht einfach wieder los wird, weil sie nur Zusatzprogramme darstellen, ist es schon sehr viel unangenehmer, wenn die auf einem PC installierten Programm von sich aus schon den Hersteller kontaktieren. Dieses Verhalten nennt man Phonehome oder aber, noch treffender, Heimweh. Ein populäres Beispiel ist der SmartDownload der Firma Netscape, der nicht nur heimlich Kundennummern, Namen und Mail-Adressen zu Netscape überträgt, sondern auch die Namen und URLs der damit heruntergeladenen Dateien.

Wer genauer wissen will, wie das technisch funktioniert, kann wiederum Steve Gibson besuchen, der übrigens seine Seite trotz Androhung rechtlicher Schritte seitens der Firma Real nicht vom Netz nehmen wird. Diese Firma stellt übrigens den gleichnamigen Realplayer her, der ebenfalls heimlich nach Hause telefoniert und dabei Daten der Benutzer überträgt. Diese Software ist übrigens schon von Haus aus in Windows ME integriert und dadurch besonders in den Blickpunkt der Öffentlichkeit gerückt. Während man nämlich bei der Neuinstallation des Realplayers auf ein vorhandenes Betriebssystem noch auf die Übertragung von Daten hingewiesen wird und sie hier deaktivieren kann, kommt der Realplayer, der von Microsoft in Windows ME integriert wurde, nicht nur ohne diesen Hinweis daher, sondern auch ohne einen unaufgeforderten (!) Dialog an den Benutzer, das Senden von Daten zu deaktivieren.

Darüber hinaus schnüffelt Windows ME auch noch in anderen Bereichen, indem es z.B. bei Internet-Spielen einen Kontakt zum Microsoft-Server aufbaut und auch hier wieder Daten überträgt, die Microsoft nichts angehen sollten. Ferner wird vom Internet Explorer ein Cookie angelegt, welches eine eindeutige Kundennummer enthält, die wiederum unbemerkt an Microsoft verschickt wird.

Versteckte Informationen in Dokumenten

Software muss aber nicht erst per Internet nach Hause telefonieren, um die persönlichsten Daten in die Welt zu schleudern, meist sind diese schon versteckt in den Dokumenten oder Bildern enthalten, die mit namentlich registrierten Programmen erstellt wurden.

Ein Phonehome der besonderen Art hat z.B. Microsoft mit dem sehr populären Word 97 betrieben, welches eine sogenannte GUID in jedes Word-Dokument eingefügt hat. Diese GUID ist eine eindeutige Nummer, die bei der Online-Registration heimlich an Microsoft übermittelt wird und enthält die sogenannte MAC-Adresse unserer Netzwerkkarte – eine weltweit einmalige Zahlenkombination, die uns im Zusammenhang mit unserem Namen anschliessend immer als Ersteller eines elektronisch veröffentlichten Dokumentes verraten wird. Aber selbstverständlich hat Microsoft diese GUID nicht während der Online-Registration von Windows in einer Datenbank gespeichert, das Ganze war nämlich nach offizieller Erklärung eine Art Versehen und ein Schelm ist, wer Böses dabei denkt…

Besitzer von Office 97 sollten sich aber unbedingt die neuesten Service Releases besorgen oder Guideon verwenden, um die GUID aus ihren Dokumenten zu entfernen, bevor diese im Internet publiziert werden.

Jeder Internet-Teilnehmer besitzt zwangsläufig ebenfalls eine solche IP-Adresse. Wer nicht gerade über das Netzwerk einer Firma fest an das Internet angeschlossen ist, verbindet sich in der Regel über das Telefon mit einem Provider. Dieser teilt dem PC dann eine gerade freie IP-Adresse zu. Diese wechselnden Adressen nennt man übrigens dynamische IP-Adressen.

Wer in seinem Browser eine Adresse wie z.B. “www.irgendwas.de” eintippt, wird über den Provider automatisch an einen Namensservice weitergeleitet. Dieser schaut in einer Datenbank nach und verbindet den Surfer mit der fest zugewiesenen, also statischen IP-Adresse des entsprechenden Web-Servers. Natürlich kann man statt einer Web-Adresse auch direkt die entsprechende IP-Adresse eintippen, aber wer will das schon ? Die angeforderte Seite liegt dann einfach als Datei in einem Unterverzeichnis dieses Rechners und wird vom Browser dann angezeigt.

Eigentlich keine allzu komplizierte Geschichte, oder ?

Interessant ist dabei, dass eine IP-Adresse immer jemandem gehört. Anhand der IP kann man deshalb immer auf den Besitzer schliessen. Sogar eine dynamische IP gehört eigentlich dem Provider und kann dem Surfer anhand seiner Telefonnummer eindeutig zugeordnet werden. Eine einfache Abfrage des Domain-Namens oder der entsprechenden IP-Adresse genügt, um den Provider zu ermitteln. Weil dieser natürlich seine Kosten abrechnen will, führt er ein Protokoll, wann und wie lange eine Telefonnummer seine IP-Adresse benutzt hat. Zunächst ist dies aber nicht weiter tragisch, da diese Protokolldateien ausser vom Provider selbst nur von staatlichen Ermittlungsbehörden bei besonderem Verdacht oder aber von ambitionierten Hackern eingesehen werden können.

Wer sich mal die eigene dynamische IP-Adresse anschauen will, kann unter Windows 9x einfach das mitgelieferte Programm winipcfg aufrufen. Der Link führt übrigens auf die eigene Festplatte statt ins Internet und kann deshalb ohne Angst vor Viren benutzt werden

Benutzer von Windows 2000 haben dieses Programm leider nicht, können aber stattdessen auf der Dos-Ebene das Kommando ipconfig eingeben.

Hat man damit einmal einen oder mehrere Rechner im Internet gefunden, auf die man zugreifen kann oder sogar ein Trojaner auf den Scan geantwortet hat, startet man einfach den entsprechenden Remote Controller für diesen Trojaner und kann sich der Funktionen bedienen, die dieser Trojaner-Typ bietet, wie z.B. das Kopieren oder Löschen von Dateien, Manipulationen in der Registry oder einfach eine komplette Fernsteuerung des anderen Rechners. Solche Rechner mit Trojanern findet man übrigens öfter, als man denkt.

Während der normale PC-Anwender mit einem Trojaner höchstens dadurch in Kontakt kommt, dass ihm ein solcher Schmarotzer ab und zu von seinem Virenscanner gemeldet wird, sieht das auf der Seite der Script-Kiddies gleich ganz anders aus. Eigentlich gehört schon etwas Fachwissen dazu, um auf einen Rechner mit Sicherheitslücken zuzugreifen, aber wenn dieser mit einem entsprechenden Trojaner infiziert ist, wird so etwas zum Kinderspiel. Zu den meisten Trojanern, die nach dem Server-Prinzip arbeiten, steht ein entsprechendes Kontrollprogramm zur Verfügung, welches nach einer erfolgreichen Verbindung zu einem infizierten Rechner einige Manipulationen erlaubt. Hier der Screenshot eines sehr populären Trojaners, der gleich mit einem komfortablen IP-Scanner zum Suchen geeigneter Opfer daherkommt:

Bei diesem Trojaner wurde wirklich an alles gedacht. Vom eingebauten Adressbuch, einem Dateimanager, einem Registry-Editor bis hin zur bequemen Fernsteuerung des fremden Rechners mit der Maus. Das Programm bietet sehr viele Optionen, so dass es von manchen Administratoren auch gerne als Remote Controller im heimischen Netzwerk eingesetzt wird, um einen anderen Rechner fernzusteuern.

Die meisten dieser Controller bieten eine Fülle an Optionen, wie z.B. das unbemerkte Aufzeichnen der Tastatureingaben des Opfers, sogar wenn diese nicht online sind. Der Trojaner merkt sich einfach alle Eingaben, die auf dem PC gemacht wurden und sendet diese dann auf Anfrage dem Besitzer des Remote Controllers zu, ohne dass das Opfer etwas davon mitbekommt.

Bei Script-Kiddies besonders beliebt ist das Ausspionieren anderer Chat-Teilnehmer in Systemen wie ICQ, IRC oder AOL Instant Messenger, da dort auch meist die IP-Adresse leicht herauszufinden ist. Deshalb finden Trojaner auch häufig über Chatsysteme ihre Verbreitung, etwa wenn ein Chatter dem anderen anbietet, ihm ein ganz tolles Programm zuzusenden. Startet das ahnungslose Empfänger dann die infizierte Datei, so kann sich der Besitzer des Remote Controllers gemütlich über den fremden Rechner hermachen und vielleicht sogar noch über die Vorzüge des zugesandten Programmes plaudern, um sein Opfer online zu halten, während er nebenher unbemerkt dessen Festplatte nach verwertbaren Inhalten absucht. Die Trojaner lassen sich meist recht einfach in beliebige Programme einbauen, wie man auf diesem Bild sehen kann:

Auf diese Weise kann man bei Bedarf in Sekunden eine beliebige Programmdatei infizieren, um sie anschliessend jemandem zuzusenden. Denkbar wäre auch eine Mail mit einem eingebauten Web-Bug, um gezielt an die IP-Adresse einer bestimmten Person zu kommen, aber so kompliziert muss das gar nicht sein. Meist bieten nämlich schon die Trojaner die Möglichkeit, den Erzeuger des Trojaners unbemerkt per Mail oder Chat-System zu informieren, sobald sein Opfer online ist. Nach dem Erhalt der Mail mit der IP-Adresse des infizierten Rechners kann man dann leicht den Kontakt zu dem Rechner herstellen. Mit Hacken hat das überhaupt nichts zu tun und bewundernswert ist hier lediglich die Fähigkeit des Trojaner-Programmierers, auch wenn der Zweck seines Programmes nicht so recht begeistern kann.

Nach diesem kleinen Exkurs in die Welt der Script-Kiddies wird nun wird auch klar, warum diese so genannt werden: Es ist kinderleicht, sich mit einem solchen Trojaner Zugriff zu einem ungeschützten Rechner verschaffen. Durch das Internet ist es mittlerweile sehr leicht, an die entsprechenden Programme zu gelangen. Wer sogar dafür zu dumm ist, fragt einfach in einem einschlägigen Hacker-Forum nach, wie hier z.B. Benny, dessen Rechtschreibkenntnisse schon einiges über seine geistigen Fähigkeiten verraten dürften:

Falls ihm in diesem Forum tatsächlich jemand zu einem Scanner oder einem Remote Controller verhelfen sollte, dann ist sogar ein waschechter Superhacker wie Benny dazu in der Lage, fremde Rechner zu manipulieren, statt mit seiner Modelleisenbahn zu spielen.