Privacy for Internet Users

Transkript

1 Privacy for Internet Users Thema: Projekt: Autor: Privacy for Internet Users Bachelor Thesis Joël Hasler Betreuer: Urs Röthlisberger Auftraggeber: Ramun Berger, Swisscom Schweiz AG Datum:

2 Privacy for Internet Users Fachbericht Seite 2 von 81 Abstract Privacy for Internet Users ist der Titel meiner Bachelor Thesis in Zusammenarbeit mit der Swisscom. Das Ziel der Arbeit ist es, durch die Implementierung entsprechender Techniken und Systemen die Anonymität im Internet für den Heimanwender zu ermöglichen. Im ersten Teil des Projektes werden die einzelnen Techniken, welche das Surfverhalten der Webseitenbesucher aufzeichnen können, untersucht und auf einer eigens für diese Arbeit entwickelten Webseite implementiert. Zudem werden die verbreitetsten Anonymisierungsdienste, wie beispielsweise TOR oder Cyberghost VPN, getestet und deren Funktionsprinzipien detailliert erläutert. Der zweite Teil befasst sich mit den beiden entwickelten Lösungsvarianten, welche auf den recherchierten Erkenntnissen basieren. Die Gründe, warum genau diese zwei Umsetzungen mit ihren Vor- und Nachteilen gewählt wurden, werden in der Arbeit dargelegt. Die abschliessenden Tests haben gezeigt, dass der Benutzer die Kontrolle über seine persönlichen Daten hat. Er kann selbst entscheiden, welche Informationen er dem Webseitenbetreiber offenlegt.

3 Privacy for Internet Users Fachbericht Seite 3 von 81 Inhalt 1 EINLEITUNG ABKÜRZUNGEN AUFBAU DER ARBEIT PROJEKTVERLAUF PROJEKTAUFTRAG Abgrenzung VORGEHEN ANONYMITÄT IM INTERNET EINLEITUNG SZENARIEN Szenario 1: Anonymes surfen Szenario 2: Anonymer surfen von Unterwegs Szenario 3: Anonym en Szenario 4: Anonymer bezahlen im Internet BEDÜRFNISSE AN DAS SYSTEM INTERNETANFRAGE Ablauf einer Internetanfrage Gefahrenquellen Risiko USER TRACKING TECHNIKEN Verräterische http Header Informationen Cookies Webbugs Flash Cookies Java Script Java ANONYM Anonymes Postfach Wegwerfadressen ANONYMISIERUNGSTECHNIKEN MIX NETZWERK Mix Kaskaden Onion Routing SSL VPN SSL Protokoll... 36

4 Privacy for Internet Users Fachbericht Seite 4 von PROXY SERVER Web Proxy Anonymizer Anonymer Proxy Server Transparenter Proxy Lokaler Proxy GETESTETE ANONYMISIERUNGSDIENSTE VERSUCHSAUFBAU Testablauf Allgemeine Hinweise CYBERGHOST VPN Allgemein Installation und Konfiguration Testergebnis ANONYMIZER.COM Allgemein Installation und Konfiguration Testergebnis PROXOMITRON Allgemein Installation und Konfiguration Testergebnis JAP Allgemein Installation und Konfiguration Testergebnis TOR Allgemein Installation und Konfiguration Testergebnis BROWSER Allgemein Testergebnis LÖSUNGSIDEEN BROWSER-ANONYMISIERUNG IP VERSCHLEIERUNG VERTEILTE LÖSUNG LÖSUNGSVARIANTEN... 53

5 Privacy for Internet Users Fachbericht Seite 5 von VARIANTE PROXY SERVER Aufbau Proxomitron Squid Testergebnisse Vorteile und Nachteile VARIANTE VPN Aufbau OpenVPN Portable Apps Testergebnisse Vorteile und Nachteile AUSBLICK UND ERGÄNZUNGEN FAZIT QUELLENVERZEICHNIS INTERNET BÜCHER ZEITSCHRIFTEN VIDEO UND PODCASTS ANHANG KONFIGURATIONEN WEBSEITE TESTERGEBNISSE Referenzwerte Cyberghost VPN Anonymiser.com Proxomitron JAP TOR Browser WORKSHOPS Workshop: Ideen zu einem Anonymisierungsdienst Workshop: Konkrete Implementierung Workshop: Konkrete Implementierung Workshop: Konkrete Implementierung

6 Privacy for Internet Users Fachbericht Seite 6 von 81 1 Einleitung In dieser Arbeit dokumentiere ich den Verlauf meiner Bachelor-Thesis. Die gemachten Erkenntnisse, Analysen und aufgetretenen Probleme sind im Detail erläutert und in den Grafiken visualisiert. Die detaillierten Informationen im Fachbericht helfen, die Versuche zu rekonstruieren und nachzuvollziehen. 1.1 Abkürzungen Abkürzung Erklärung AES CA DOM EFF ISP LSO NAT OP OR PGP PKI SSL TCP TOR UDP TLS Advanced Encryption Standard Certificate Authority Document Object Model Electronic Frontier Foundation Internet Service Provider Local Shared Object Network Address Translation Onion Proxy Onion Router Pretty Good Privacy Public Key Infrastructure Secure Sockets Layer Transmission Control Protocol The Onion Routing User Datagram Protocol Transport Layer Security PPP 1.2 Aufbau der Arbeit Das Dokument ist chronologisch geordnet und zeigt den Ablauf des Projektes auf. So wird im Kapitel 2 der Projektverlauf und die eingesetzte Vorgehensweise festgehalten. Im Kapitel 3 wird detailliert auf die Problematik Anonymität im Internet eingegangen. Zu Beginn des Kapitels werden Szenarien beschrieben und deren Bedürfnisse für die Sicherstellung der Anonymität im Internet erwähnt. Anschliessend werden anhand einer ausgeführten Internetanfrage die Gefahren und Risikofaktoren beispielhaft aufgezeigt. Im letzten Teil des Kapitels werden die einzelnen User-Tracking-Techniken erklärt und mit Beispielen ergänzt. Das Kapitel 4 beschreibt die theoretische Funktionsweise der verbreitetsten Anonymisierungstechniken im Detail. Das Kapitel 5 ist mehr praxisorientiert und schildert die Ergebnisse der getesteten Anonymisierungsdienste TOR, JAP, Cyberghost VPN, Anonymizer.com, Proxomitron und die neusten Webbrowser von Mozilla und Microsoft. Im Kapitel 6 werden die möglichen Lösungsideen zur Realisierung eines Anonymisierungsdienstes im Umfeld der Swisscom aufgezeigt. Im letzten Kapitel werden die zwei ausgearbeiteten Lösungsvarianten detailliert beschrieben und ausgewertet.

7 Privacy for Internet Users Fachbericht Seite 7 von 81 2 Projektverlauf 2.1 Projektauftrag Siehe Beiblatt Projektauftrag

8 Projektauftrag für Joël Hasler Privacy for Internet Users Wenn eine Person im Internet surft ist sie längst nicht mehr unbeobachtet und anonym im Netz: Der Browser teilt diverse Parameter und Einstellungen an die besuchten Webseiten mit. Viele Firmen wie Google sammeln Daten über Internet-Nutzer und legen Profile an um sie mit gezielter, personalisierter Werbung zu bedienen. Im Rahmen dieser Arbeit soll zuerst abgeklärt werden wo und wie die gewünschte Anonymität im Internet nicht gewährleistet ist. Es soll zudem untersucht werden, welche legale, ehrbare Anonymitätsbedürfnisse die Internet-Nutzer haben und wie sich diese von einem ISP (Internet Service Provider) unterstützen lassen. Aufgaben Studieren Sie die Funktionsweise der technischen und sozialen Komponenten welche beim Nutzen des Internet zum Einsatz kommen. Zeigen Sie auf, wo die Anonymität gefährdet ist. Fokussieren Sie auf den Einsatz von Browser im Festnetz-Access. Erarbeiten Sie reale Szenarien und Bedürfnisse für den genannten Kontext. Erstellen Sie eine Liste von Anforderungen & Kriterien sowie einen Zeitplan mit Teilaufgaben für das Vorgehen zusammen mit dem Auftraggeber und dem Betreuer. Analysieren Sie die betrachteten Szenarien und erarbeiten Sie mögliche Lösungsvarianten. Untersuchen Sie funktionell wie auch qualitativ die besagten Lösungsvarianten. Realisieren Sie exemplarisch das erarbeitete Konzept und demonstrieren Sie dessen Funktionstüchtigkeit und Eignung für die gestellten Anforderungen an Hand der beschriebenen Anwendungsszenarien. Erarbeiten Sie eine kompakte Dokumentation für die untersuchten Varianten der Implementation. Die erlangten Einsichten, wie auch die gefundenen offenen Probleme sollen dabei präzis und klar dokumentiert werden. Form des Resultats Schriftliche Dokumentation in Papierform und auf CD-ROM (je 3 Expl.) Weitere Dokumente wie Poster, Webauftritt und Präsentation gemäss Vorgaben der FHNW Demonstration der Funktionstüchtigkeit des Konzeptes für ein Anwendungsszenario. Auftraggeber Betreuer R. Berger, Swisscom Dr. U. Röthlisberger

9 Privacy for Internet Users Fachbericht Seite 8 von Abgrenzung Die Anonymität soll nicht gegenüber den Behörden oder der Swisscom, sonder gegenüber den Webseitenbetreibern sichergestellt werden. Dem Benutzer soll die Kontrolle über seine persönlichen Daten wieder zurückgegeben werden. Es ist definiert, dass der Swisscom vertraut wird (nach Angaben von Herrn U. Röthlisberger). Der Kunde muss darüber informiert werden, dass gegenüber der Swisscom nur beschränkte Anonymität möglich ist. Es werden keine Log-Dateien oder sonstige gewonnene Daten an Drittpersonen weitergegeben. Liegt jedoch ein Missbrauch des Dienstes vor, werden die aufgezeichneten Daten den Behörden offengelegt. Die in dieser Arbeit beschriebenen Methoden um Anonymität im Internet zu gewährleisten garantieren keinen 100 prozentigen Schutz. Absolute Sicherheit im Internet ist ebenso unmöglich wie im Strassenverkehr. Sicherheit ähnelt einem Katz-und-Maus-Spiel. Ein Forscher oder Hacker entdeckt eine neue Sicherheitslücke oder entwickelt eine neue Technik, die sich schnell verbreitet und von anderen nachgeahmt wird. Andere Forscher oder Hacker entwickeln wieder passende Gegenmassnahmen um die Lücken zu schliessen oder die Technik zu verbessern. Für die zu entwickelnde Lösung steht der Heimanwender im Zentrum. In den meisten Fällen wird ein Betriebssystem von Microsoft verwendet. Demzufolge ist die zu entwickelnde Lösung auf Windows fokussiert. Das System und die Test sind auf die heutigen aktuellen Browser Microsoft Internet Explorer und Mozilla Firefox ausgelegt. 2.2 Vorgehen Grundlegende Recherchen über bereits vorhandene Möglichkeiten der Anonymisierung sind zu Beginn von zentraler Bedeutung. Sie legen den Grundstein für das gesamte Projekt. Die erste Phase des Projekts beinhaltet deshalb ausgiebige Recherchen. Nebst dem Internet wird auch Fachliteratur (Bücher und Zeitschriften) hinzugezogen, um das Wissen sukzessive aufzubauen. Durch wissenschaftliche Artikel und Podcasts aus Fernseher und Communities wird der Wissenshorizont zusätzlich erweitert. Aufgrund der gewonnenen Informationen werden die aktuellen Techniken, welche zur Anonymisierung im Internet eingesetzt werden, installiert und getestet. Für diesen Testaufbau wird eine spezielle virtuelle Infrastruktur auf der Basis von VMWare aufgebaut. Durch die Installation und die durchgeführten Tests der einzelnen Dienste können nützliche Erkenntnisse über einen möglichen Dienst im Umfeld der Swisscom gewonnen werden. Ebenfalls zeigen die Tests detailliert auf, über welche Kanäle Daten des Benutzers gesammelt werden. Diese Techniken, welche eine persönliche Profilerstellung ermöglichen, werden in einer eigens entwickelten Webseite implementiert und nachgebaut. Damit ist ein Instrument vorhanden, um die Gefahren aufzuzeigen und zu demonstrieren. Es werden Workshops mit Swisscom Mitarbeiter durchgeführt, um die Bedürfnisse und Anforderungen an einen Anonymisierungsdienst im Internet aufzuzeigen. Basierend auf diesen Erkenntnissen, dem technischen Hintergrundwissen und den getesteten Diensten, werden zwei Lösungsvarianten ausgearbeitet und umgesetzt.

10 Privacy for Internet Users Fachbericht Seite 9 von 81 3 Anonymität im Internet 3.1 Einleitung Im realen Leben ist die Anonymität des Kunden alltäglich. Der Einkauf im Einkaufszentrum erfolgt ohne dass man sich ausweisen muss. Das Aufgeben der Anonymität, beispielsweise durch eine Kundenkarte, ist eine aktive Entscheidung und ist nicht ohne Einverständnis des Kunden möglich. Die Situation im Internet ist genau umgekehrt. Der Webseitenbetreiber erstellt von jedem Besucher ein persönliches Profil. Gespeichert werden das Surfverhalten, die adresse und weitere Informationen über Browser und deren Einstellungen. Werbefirmen ist es sogar möglich, das Surfverhalten webseitenübergreifend zu erfassen. Mit diesen gesammelten Informationen ist es den Betreibern möglich, personifizierte Werbung anzuzeigen. Zudem finanzieren die Betreiber der Werbeserver ihre Angebote durch den Verkauf der persönlichen Daten. Diese Arbeit soll die Problematik aufzeigen und wie man sich dagegen schützen kann. Absolute Anonymität ist jedoch nicht gegenüber allen Stellen möglich. Der Staat betreibt Massnahmen zur Überwachung der Internetaktivitäten. Diese werden derzeit stark ausgebaut und müssen von den Providern eingehalten und umgesetzt werden. 3.2 Szenarien Im nachfolgenden Text werden die Anwendungsfälle kurz beschrieben. Der Hauptfokus liegt auf den beiden ersten Szenarien Szenario 1: Anonymes surfen Wie schon in der Aufgabenstellung definiert, ist das Hauptziel Anonymität beim Surfen zu gewährleisten. Dies bedeutet, dass verhindert werden soll, dass ein persönliches Profil des Surfers erstellt werden kann. Man will im Internet surfen, ohne dass die Webseitenbetreiber und die darin verlinkten Werbefirmen wissen, was man anklickt und wonach man sucht. In diesem Zusammenhang gibt es ein anderes Szenario. Es soll verhindert werden, dass aufgrund des eigenen Surfprofils gezielt Werbung angezeigt wird. Haben die Werbefirmen einmal ein persönliches Surfprofil über den Benutzer angelegt, ist meistens auch eine adresse darin enthalten. Dadurch wird auch dieses Medium für spezifische Werbung verwendet. In einem anderen Szenario geht es um die Reporter, welche Recherchen im Internet betreiben wollen, ohne dabei Spuren zu hinterlassen. Beispielsweise möchte ein Reporter in einer Korruptionsaffäre mehr Informationen über ein verdächtiges Anwaltsbüro erfahren. Dazu will er auf der Webseite der Anwaltskanzlei die Namen der Partner recherchieren. Er befürchtet aber, dass die Anwälte seinen Besuch feststellen und somit von seinem Verdacht erfahren. Dies soll verhindert werden. Auch bei Versicherungsfirmen müssen vermehrt Internetrecherchen über Klienten durchgeführt werden. Da ist ebenfalls das Verlangen, dass diese Recherchen, ohne Spuren zu hinterlassen, ausgeführt werden können. Abbildung 1: Szenario 1: Anonymes Surfen

11 Privacy for Internet Users Fachbericht Seite 10 von Szenario 2: Anonymer surfen von Unterwegs Im folgenden Szenario gelten die gleichen Grundbedürfnisse. Zudem kommt die Problematik des mobilen Arbeitens über eine öffentliche Internetverbindung hinzu. Man ist beispielsweise über ein Wireless LAN im Hotel, in der Bahn, im Internetcafé oder über einen öffentlichen Hot Spot verbunden. Der erste Unsicherheitsfaktor ist, dass unklar ist, was der Betreiber mit den Anfragen macht. Man hat keine Kontrolle über diese übertragenen Daten. Der zweite Punkt ist, dass die meisten WLAN s unverschlüsselt sind und die Daten somit für jedermann offen sind. In diesem Fall soll das System die Daten geschützt übermitteln und die Risikofaktoren eliminieren, dass Daten von unbefugten Drittpersonen gesammelt werden können. Abbildung 2: Szenario 2: Anonymer surfen von Unterwegs Szenario 3: Anonym en Abbildung 3: Szenario Anonym Ein weiteres Szenario ist, dass s anonym versendet werden können. Es soll verhindert werden, dass Rückschlüsse über den Absender oder den durchlaufenen Weg im Internet rekonstruiert werden können. Auf der anderen Seite ist gewünscht, dass s anonym empfangen werden können. Beispielsweise will man einen Newsletter abonnieren, ohne dass die eigene richtige adresse verwendet wird, um möglichen Spam zu verhindern. Es soll möglich sein, den Newsletter auf eine anonyme adresse zu abonnieren. Diese Art von box ist vergleichbar mit einem toten Briefkasten. Ein weiteres Einsatzgebiet in diesem Zusammenhang ist die benötigte adresse bei Onlineregistrierungen. Gewünscht sind sogenannte Dummy- adressen, welche nur für eine kurze Zeit (wenige Stunden) gültig sind. Diese werden bei Registrierungen nur für die Bekanntgabe der Benutzerdaten benötigt und danach nicht mehr Szenario 4: Anonymer bezahlen im Internet Ein sehr aktuelles Szenario im Internet ist die Anonymität im Zahlungsverkehr. Gewünscht wäre eine Barzahlung, wie in einem Einkaufszentrum, die vollkommen anonym ist. Die Schwierigkeit

12 Privacy for Internet Users Fachbericht Seite 11 von 81 im Internet ist jedoch wie folgt. Auch wenn man anonym im Internet surft, werden die persönlichen Daten der Kreditkarte beim Bezahlen trotzdem übermittelt. Es wird ein System benötigt, welches eine anonyme Zahlung ermöglicht und trotzdem rechtlich korrekt ist. Abbildung 4: Szenario Anonym bezahlen im Internet Dieses Szenario wird nicht Teil der Arbeit sein. Es wird hier der Vollständigkeit halber trotzdem erwähnt. 3.3 Bedürfnisse an das System Die aus dem Workshop mit den Swisscom Mitarbeitern erarbeiteten Bedürfnisse und Anforderungen werden im folgenden Abschnitt kurz zusammengefasst. Die Auswertung und die durchgeführte Präsentation sind im Anhang zu finden. Erarbeitete Bedürfnisse sind - per default anonym - für den normalen Gebrauch ausgelegt - benutzerdefinierte Einstellungen müssen möglich sein (Bsp.: vertrauenswürdige Seiten) - ausgelegt für jeden Browser - gute Performance - wartungsfreundlich 3.4 Internetanfrage Bis die gewünschte Webseite im Browser des Benutzers angezeigt wird, sind im Hintergrund etliche Vorgänge aktiv. Der nachfolgende Abschnitt soll verdeutlichen, welche Vorgänge wann stattfinden und welche Gefahrenquellen damit verbunden sind Ablauf einer Internetanfrage Abbildung 5: Ablauf einer Internetanfrage

13 Privacy for Internet Users Fachbericht Seite 12 von 81 Der Betrachter will im Internet etwas recherchieren. Dazu tippt er im Browser die URL ein. Als erstes findet die Namensauflösung der Domäne zur passenden IP Adresse statt. Dazu wir die Anfrage an den DNS Server (2.1) gesendet, welcher beim Benutzer eingetragen ist. Die Suche nach dem richtigen DNS Server beginnt immer bei den root DNS Servern (2.2). Diese kennen die DNS Server für die entsprechenden Toplevel Domänen (.com,.org,.ch usw.). Die Anfrage, ob er google.ch kennt, wird somit an den root DNS weitergeleitet. Die Antwort lautet Nein, kenne ich nicht. Kontaktiere den DNS Server der.ch Domäne. Der.ch DNS Server (2.3) sendet anschliessend die gewünschte IP Adresse an den ursprünglichen DNS Server zurück, welcher diese dann an den Browser (1) weiterleitet. Nun verfügt der Browser über die nötigen Informationen und kann mit dem Webserver eine Verbindung aufbauen. Die DNS Anfragen werden auf dem Applikation Layer (OSI Layer 7) ausgeführt. Sie laufen über den UDP Port 53. Die IP Adresse des Webservers (4) ist nun bekannt. Mittels dem 3-Weg-Handshake wird eine Verbindung über TCP aufgebaut. Anschliessend werden die Webseiteninhalte über das HTTP Protokoll angefordert und im Browser (1) angezeigt Gefahrenquellen Risiko Die erste Gefahrenquelle ist der Benutzer (1) selbst, denn oft fehlt das nötige Bewusstsein über die Gefahren im Internet und deren Konsequenzen. Die Spuren die man im Internet hinterlässt sind mit einfachen Mitteln analysierbar. Die aufkommenden Social Plattformen wie StudiVZ, Facebook, MySpace usw. laden den Benutzer geradezu dazu ein, sein ganz persönliches Leben jedermann zugänglich zu machen. Der Browser (2) ist eine der grössten Gefahrenquellen. Die Vergangenheit hat gezeigt, dass der Browser ein beliebtes Ziel für Angreifer ist. Es werden Sicherheitslücken oder Skriptsprachen ausgenutzt, um auf dem Computer des Benutzers Schaden anzurichten. Die meisten User Tracking Techniken sind auf den Browser angewiesen. Beispielsweise ermöglicht der Browser Cookies oder Local Shared Objects zu speichern. Scriptsprachen wie JavaScript, PHP und VBScript ermöglichen das auslesen von Systemeinstellungen. Mittels ActiveX und Java Applets lassen sich durch die lokal ausgeführte Programme, Informationen über den Benutzer sammeln. Wie im obigen Abschnitt erklärt, laufen die DNS Abfragen über mehrere Server hinweg. Die DNS Anfragen (3) liefert detaillierte Auskunft, wann der Betrachter welche Webseite aufgerufen hat. Identifiziert wird er anhand seiner IP Adresse. Jede Anfrage an einen DNS Server wird protokolliert. Somit entsteht ein Profil über die Aktivitäten des Benutzers. Bei der Anforderung des Webseiteninhaltes (4) über das http Protokoll können ebenfalls etliche Informationen über den Benutzer herausgelesen werden. So erfährt man über das HTTP Header Feld Referer, von wo man auf die Seite gestossen ist. Browserversion, Betriebssystem, unterstützte Sprachen oder Zeichensätze sind weitere Informationen, die gesammelt werden können. Zusammengefasst ist zu sagen, dass der Benutzer einer Webseite generell zwei Gefahrenquellen der Widererkennbarkeit ausgesetzt ist. Die erste erfolgt anhand den Spuren, welcher der Browser hinterlässt und die zweite durch die persönliche IP Adresse. Die Anonymität soll gegenüber dem Webseitenbetreiber (4) garantiert werden. Die folgende Risikoeinstufung basiert auf dieser Annahme. Das Risiko des Betrachters (1) ist gross. Denn ohne das Bewusstsein über die Gefahren im Internet, wird er nie einen solchen Dienst einsetzten. Auch wenn er einen solchen Dienst einsetzt, muss er sich der Gefahr des Internets bewusst sein und sich auch dementsprechend verhalten. Es zeigt sich langsam eine Sensibilisierung zur Wahrung der Privatsphäre im Internet ab. Sind einmal die Information im Internet publiziert, ist es fast unmöglich diese zu entfernen. Das Internet vergisst nichts.

14 Privacy for Internet Users Fachbericht Seite 13 von 81 Das Risiko des Browsers (2) ist ebenfalls relativ hoch. Er stellt die Techniken zur Verfügung, welche die Erstellung eines persönlichen Benutzerprofils ermöglichen. Es benötigt darum Mechanismen, welcher diese Profilerstellung unterbindet. Die gesamte Internet Infrastruktur (3), welche unter anderem die DNS und ISP umfassen, bietet ein mittleres Risiko. Ausschlaggebend ist dort die IP Adresse, um den Betrachter zu identifizieren. Wird aber eine Technik eingesetzt, welche die persönliche IP Adresse verschleiert, ist dies nicht mehr der Fall. Auf dem Webserver (4) werden bekanntlich alle Anfragen protokolliert und in statistischen Auswertungen visualisiert. Durch die Kombination mit einer User Tracking Technik ist eine Zuordnung der Log-Einträge zum persönlichen Benutzerprofil möglich. Aus diesem Grund wird das Risiko als mittel eingestuft. 3.5 User Tracking Techniken Die nachfolgenden erklärten Techniken sind ursprünglich entwickelt worden, um die Benutzung des Internet zu vereinfachen und mehr Möglichkeiten zu bieten. Die Schattenseite ist jedoch, dass diese Techniken auch für die gezielte Informationsbeschaffung über den Benutzer eingesetzt werden. Somit benötigt es ein Abwägen von Flexibilität und Privatsphäre. Für das bessere Verständnis stehen für alle beschriebenen Techniken entsprechende Beispiele auf der eigens entwickelten Internetseite zu Verfügung Verräterische http Header Informationen Der HTTP Header, welcher zwischen dem Webserver und dem Benutzer ausgetauscht werden, können ebenfalls zur Gewinnung von Benutzerinformationen verwendet werden. Diese Daten werden für statistische Auswertungen eingesetzt. So kann beispielsweise festgestellt werden: - Welches sind die meistverwendeten Browser und Betriebssysteme? - Wie lang verweilt ein Kunde auf der Webseite? - Welche Bereiche werden am meisten angeschaut? - Von welcher Region/Land kommen die Anfragen? - Über welche Links sind die Betrachter auf die Seite gelangt? - uvm. Diese anonymen Daten können durch die Kombination einer zusätzlichen User Tracking Technik (Bsp. Cookies) personifiziert werden und somit das persönliche Browserprofil erweitern. IP Adresse Die Kommunikation im Web erfolgt über das TCP/IP Protokoll. Dies bedeutet, dass Webserver und der Computer des Benutzers eine eindeutige IP Adresse besitzen. Denn beide müssen wissen, wohin sie die Daten senden sollen. Diese IP Adresse ist in den meisten fällen eine dynamische Adresse, welche vom DHCP-Server des Provider vergeben wird. Die Adresse ist nur für einen bestimmten Zeitraum gültig, der sogenannten DHCP-Leasedauer. Ist diese abgelaufen, wird dem Benutzer eine neue Adresse zugeteilt. Dies gilt nicht für Benutzer, welche eine fixe IP Adresse besitzen. In diesem Fall ist die IP Adresse eindeutig und ermöglicht somit eine einfache Profilerstellung des Surfverhaltens. Die IP Adresse des Benutzers kann relativ einfach bestimmt werden. Sie kann anhand der Log Einträge des Webservers oder über ein kleines PHP Skript herausgefunden werden und identifiziert den Benutzer eindeutig. <?php $ip=$_server['remote_addr']; echo $ip;?> Skriptausschnitt um die IP Adresse heraus zu lesen

15 Privacy for Internet Users Fachbericht Seite 14 von 81 Abbildung 6: Zeigt die aktuelle IP Adresse Referer Beim Anklicken eines Links wird dem Webserver der verlinkten Seite über den Referer mitgeteilt, auf welcher Webseite man sich vorher befunden hat. Diese Information wird von den Webservern protokolliert, damit danach statistische Auswertungen gemacht werden können. Der Betreiber der Webseite erfährt somit, welche fremden Webseiten auf seine Seite verweisen. Durch den Einsatz einer entsprechenden User Tracking Technik, kann dann das Surfverhalten des Benutzers gespeichert werden. Um dies zu verhindern, benötigt es ein kontrolliertes Referer-Handling, welches durch gezielte Filterungstechnik realisiert werden kann. Der Referer ist ein optionales http Header Feld und könnte somit nicht übermittelt werden. Diese Variante führt zu Problemen, da einige Seiten den Referer bei Bildern verwenden. Damit wird verhindert, dass fremde Seiten die eigenen Bilder einbinden können. Es empfiehlt sich deshalb, den Referer auf die aktuelle oder die Basisadresse der Webseite zu übersteuern. User-Agent Der User-Agent liefert detaillierte Informationen über den verwendeten Browser und das Betriebssystem. Abbildung 7: User-Agent Das obige Beispiel liefert folgende Informationen: - Browser: Mozilla Firefox Betriebssystem: Windows XP in Deutsch Exoten wie beispielsweise SeaMonkey unter Windows 2000 sind sehr einfach erkennbar. Auch wenn man nicht mit einem Unikum im Internet surft, verrät der User-Agent einiges über die Systemkonfiguration. Es benötigt eine Manipulierung dieser Information, da sie nebst der Protokollierung auch gezielt für die Ausnützung von Sicherheitslücken eingesetzt werden kann. Der User-Agent kann nicht einfach weggelassen werden, da keine Informationen auch Informationen sind. Man würde sich dadurch ebenfalls exponieren. Zusätzlich sind gewisse Webseiten spezifisch auf einen Browsertyp zugeschnitten. ETag ETags werden für das Caching eingesetzt. Es ist ein Mechanismus, um festzustellen ob sich auf der Webseite etwas geändert hat oder nicht. Bei der ersten Anfrage der Webseite, sendet der Webserver einen spezifischen ETag Wert, welcher vom Browser auf dem Computer lokal gespeichert wird. Bei der erneuten Anfrage derselben Webseite sendet der Browser im Header Feld If-None-Match den zuvor gespeicherten Wert mit. Der Webserver prüft nun ob der Benutzer eine aktuelle Version der

16 Privacy for Internet Users Fachbericht Seite 15 von 81 Webseite im Cache hat oder nicht. Verfügt der Computer über eine aktuelle Version, wird diese mit dem Code 304 (Not modified) vom Webserver bestätigt. Der Inhalt der Webseite wird in diesem Fall nicht übermittelt und der Client verwendet die lokal gespeicherten Daten. Der ETag Wert kann auch eine User-ID enthalten und ermöglicht somit den Betrachter der Webseite wiederzuerkennen. Das kleine Beispiel verdeutlicht die Problematik. Abbildung 8: Erster Aufruf mit übermitteltem ETag Abbildung 9: Zweiter Aufruf mit If-None-Match und http 304 Antwort Weitere Felder Ergänzende Informationen, wie zum Beispiel die bevorzugte Sprache, Zeichensätze und Dateitypen können einen individuellen Fingerprint des Browsers ergeben. Die Kombination dieser Werte sollten auf möglichst häufig verwendete und nichtssagende Einstellungen gesetzt werden. Beispielsweise die Empfehlung der TOR Entwickler: o Accept-Language: de-de;de o Accept-Charset: *,utf-8 o Charset-Dafault: iso Cookies Das http Protokoll ist bekanntlich zustandslos. Aus der Sicht des Servers besteht keine Beziehung zwischen den einzelnen Webserveranfragen. Für jede Anfrage wird eine neue Verbindung hergestellt. Der Server kann nicht feststellen, ob eine Folge von Anfragen von demselben Benutzer stammt oder nicht. Viele Anwendungen im Internet, wie zum Beispiel E-

17 Privacy for Internet Users Fachbericht Seite 16 von 81 Commerce, verlangen aber genau diese Funktionalität. Mithilfe der Cookie Technik kann dies realisiert werden. Funktion Die grundsätzliche Funktion eines Cookies ist das Speichern persönlicher Einstellungen auf dem Rechner des Benutzers. Die Werte werden in einer Textdatei gespeichert. Mithilfe dieser Technik werden beispielsweise Warenkörbe in Onlineshops realisiert. Der Kunde kann somit einen Artikel in den Warenkorb legen und sich danach weiter auf der Webseite umschauen, ohne dass die Daten im Einkaufskorb verloren gehen. Cookies ermöglichen es auch sogenannte Sessions zu realisieren, in welcher der Benutzer wieder erkannt wird. Anwendung findet dies beispielsweise in passwortgeschützten Bereichen. Dazu wird im Cookie eine eindeutige Nummer (Session-ID) gespeichert, um den Benutzer bei weiteren Aufrufen wieder zu erkennen. Der Vorteil ist, dass dadurch nicht bei jedem Aufruf einer anderen Unterseite das Passwort erneut eingegeben werden muss. Ein weiteres Einsatzgebiet von Cookies ist das Überbrücken von Unterbrüchen von Verbindungen zum Server. Dies kann zum Beispiel in Mobilfunknetzen auftreten. In diesem Fall werden die Cookies als Zwischenspeicherungen eingesetzt, welche bei erneutem Aufbau der Verbindung an den Server geschickt werden. Somit kann der Zustand wiederhergestellt und das zu übertragene Datenvolumen minimiert werden. Aufbau Cookies sind 1 bis 4 Kilobyte klein und enthalten ausschliesslich Text. Sie werden im persönlichen Home Verzeichnis des Benutzers gespeichert. Da es reine Textdateien sind, können sie auf dem Computer keinen Schaden anrichten. Sie sind weder ausführbare Dateien, noch können sie schädliche Skripte beinhalten. Die Cookies dienen lediglich als Datenspeicher. Generell besteht ein Cookie aus einem Namen und einem Wert, wie im folgenden Beispiel ersichtlich ist. Set-Cookie: Name="Wert"; expires=tue, 29-Mar :30:42 GMT; Domain= Path=/pfad; Die einzelnen Parameter werden nun kurz erläutert. Bezeichnung Erforderlich Beschreibung Name=Wert Ja Beliebiger Name mit entsprechendem Wert Expires=Datum Optional Ablaufdatum Domain=Domainname Optional Domainname für den das Cookie gilt Path=Pfad Optional Beschränkt die Gültigkeit des Cookies auf einen bestimmten Pfad. Secure Optional Ist das Attribute gesetzt, wird eine Verschlüsselung erzwungen (nur für HTTPS relevant) Tabelle 1: Parameter eines Cookies Wie der obigen Tabelle zu entnehmen ist, ist die Angabe des Expires Datums optional. Ist kein Ablaufdatum festgelegt wird das Cookie automatisch als Session-Cookie gespeichert. Dies bedeutet, dass nach dem Schliessen des Browsers das Cookie vom System automatisch gelöscht wird. Der Webserver kann nur Cookies der eigenen Domäne schreiben und lesen. Es ist nicht möglich Cookies für einen anderen Webserver zu schreiben oder diese auszuwerten.

18 Privacy for Internet Users Fachbericht Seite 17 von 81 Missbrauch von Cookies Die Schattenseite der Cookies ist, dass es relativ einfach ist, den Besucher einer Webseite wiederzuerkennen. Durch die gezielte Buchführung, wann und wie oft der gleiche Besucher die Webseite anschaut, entsteht schnell ein persönliches Surfprofil. Dies wird verwendet, um Websiteinhalte auf die Interessen des Besuchers zu generieren. Diese Technik wird verbreitet in der Werbebranche eingesetzt. Webseitenbetreiber finanzieren sich oft über Werbungen, welche in der Seite eingebettet sind. Dies kann beispielsweise eine Bannerwerbung vom führenden Onlinemarketinganbieter doubleclick sein. Durch den Werbevertrag ist geregelt, dass doubleclick Cookies schreiben darf, die er momentan aber noch nicht lesen kann. Diese Cookies werden durch ein weit in der Zukunft liegendes Expires Datum dauerhaft auf dem Computer gespeichert. In diesem Fall spricht man von einem Drittanbieter Cookie. Die Cookies von doubleclick sammeln sich nach und nach an, ohne zunächst bedrohlich zu werden. Sollte der Benutzer jedoch irgendeine Webseite von doubleclick besuchen, werden alle gesammelten Informationen über den Benutzer an den doubleclick-server übertragen. Eine Werbeagentur wie doubleclick ist in vielen Webseiten verlinkt und hat somit die Möglichkeit Aufzeichnungen des Benutzerverhaltens über mehrer Webseiten hinweg zu sammeln. Durch dieses Wissen kann die Werbewirksamkeit einer Seite bewertet werden und es ist möglich sehr zielgerichtete Vermutungen darüber anzustellen, was den Betrachter interessiert. Tippt der Benutzer einmal in einem HTML-Formular seine adresse ein, wird diese im Cookie gespeichert. Dadurch ist es der Werbeagentur möglich gezielte Werbe s zu versenden. Das folgende Beispiel soll verdeutlichen, wie einfach Werbefirmen an die Daten des Kunden kommen. Abbildung 10: Beispiel eines Werbebanners mit Cookies Die Webseite index.html läuft auf dem Webserver localhost (1). Die Seite beinhaltet ein Werbebanner von der Domäne h-hasler.ch (2). Beim laden der Webseite (3) wird automatisch der eingebettete Werbebanner (via iframe) geladen und schreibt ein Drittanbieter-Cookie mit dem Datum des Besuchs, von welcher IP Adresse der Besucher gekommen ist und über welche Seite er auf diese gestossen ist (Referer).

19 Privacy for Internet Users Fachbericht Seite 18 von 81 Abbildung 11: Webseite (index.html) mit Werbebanner (rot schraffiert) Bei einem erneuten Besuch wird das Cookie ergänzt und so bildet sich langsam ein persönliches Benutzerprofils. Gelangt nun der Betrachter aus versehen auf die Seite werden die ganzen gesammelten Daten aus dem Cookie an den Server übermittelt. Der Code für dieses Beispiel ist im Anhang hinterlegt. Abbildung 12: Auswertung der Besucher von Werbebanner Cookie Handling Es gibt generell zwei Arten, wie Cookies gespeichert werden. Die erste Variante ist über http und die zweite über JavaScript. Im ersten Fall benötigt es eine Programmiersprache, wie zum Beispiel PHP, ASP oder JSP mit welcher die Cookies verwaltet werden können. Die Programmiersprache sendet ein spezielles http Attribute namens Set-Cookie an den Browser, welcher anschliessend ein Cookie mit den darin übergebenen Werten anlegt. Bei jeder Programmiersprache gibt es entsprechende Funktion, mit welcher Cookies geschrieben, gelesen und wieder gelöscht werden können. Die zweite Variante ist die Cookie Erstellung über die Scriptsprache Javascript. Dabei handelt es sich um eine clientseitige Scriptsprache. Das Cookie Handling erfolgt über das Objekt document mit der Eigenschaft cookie. Das Objekt document bezieht sich auf den Inhalt eines Browserfensters. Es ist das Ausgangsobjekt für den Elementenbaum des Document Object Model (DOM). Die Elemente eines HTML-Dokuments stellen dem DOM zufolge also

20 Privacy for Internet Users Fachbericht Seite 19 von 81 Unterobjekte des document Objekts dar, welche über die DOM Funktionen getelementbyid() und getelmenetbyname() abgefragt werden können. Mittels der Eigenschaft cookie werden die zu speichernden Daten an den Browser gesendet, welcher anschliessend das Cookie erstellt. Im Firefox Browser können die Cookies über den Aufruf der Option Extras Einstellungen Datenschutz Cookies anzeigen angeschaut werden. Für den Internet Explorer gibt es leider noch keine integrierte Funktion. Abhilfe bieten das Freeware Tool IECookiesView von Abbildung 13: Gespeicherte Cookies im Firefox anzeigen Webbugs Das IMG Tag der HTML Sprache ermöglicht Bilder in einer Webseite zu integrieren. Die Webbug-Technologie missbraucht aber gerade diese Funktion. Funktion Es werden meist 1x1 Pixel kleine Grafiken verwendet, welche transparent oder in der Farbe des Hintergrundes eingefärbt sind. Wird eine Webseite geladen, wird neben dem eigentlichen Inhalt ebenfalls auch das Ein Pixel Bild automatisch geladen. Der Betrachter bekommt davon nichts mit. Das Herunterladen des Bildes wird vom entsprechenden Webserver registriert. Diese Technik wird einerseits von Webseitenbetreiber als Zählerpixel verwendet, welches Auskunft über die aktuelle Besucheranzahl liefert. Auf der anderen Seite werden Webbugs für das Aufzeichnen des Benutzerverhaltens verwendet. Wird ein Bild von einem Webserver heruntergeladen, können anhand der Log-Dateien die statischen Informationen der Betrachter ausgewertet werden. Dies beinhalteten beispielsweise die IP Adresse, die URL der besuchten Webseite, die URL des Webbugs, der Zeitpunkt, an dem der Webbug angeschaut wurde, Browsertyp und vieles mehr. Mit diesen Daten ist es nicht möglich ein persönliches Benutzerprofil eines Kunden zu Erstellen. Um dies zu ermöglichen kombiniert man die bewährte Methode der Cookies mit der Webbug-Technik. So werden beim Laden des Webbugs nicht nur die statischen Angaben übertragen sondern, auch der persönliche Inhalt des Cookies. Es werden beispielsweise auch die persönliche Benutzer ID oder die Adresse übermittelt. Der Benutzerprofilerstellung steht nicht mehr im Weg. Der Einsatz von Webbugs ist auch sehr beliebt in HTML s. Spam Firmen haben so die Möglichkeit zu prüfen, welche adressen gültig sind und welche nicht. Denn die meisten programme laden, wie die Browser, externen Dateien automatisch. Aufbau Das folgende Beispiel soll den Aufbau eines Webbugs verdeutlichen.