Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

IT-Forscher: So leicht können Kriminelle Websurfer aushorchen

Von

3. Teil: 2. Schritt - Rechner per Cookie oder Browser-Fingerabdruck identifizieren

Gefahr im Nacken: Beim Banking ausspioniert zu werden, kann sehr teuer werden Zur Großansicht
Corbis

Gefahr im Nacken: Beim Banking ausspioniert zu werden, kann sehr teuer werden

Bei einfachen Angriffen mit der History-Hijacking-Methode erhalten die Datenklauber keine Auskunft darüber, wessen Surf-Geschichte sie nun eigentlich ausgelesen haben. Sie erfahren eine IP-Adresse und alle anderen Details, die ein Browser beim Aufrufen einer Web-Seite an den Anbieter übermittelt. Für viele Anbieter dürfte es auch gar nicht so interessant sein, herauszufinden, wie ihre Besucher denn nun heißen. Sie wollen nur erfahren, wie ihre Besucher das Web nutzen, zum Beispiel, um ihr Publikum in Interessengruppen einzuteilen und ihnen zielgerichtet Werbung anzuzeigen.

Dafür genügt es, Rechner bei wiederholten Besuchen zu identifizieren. Das ist mit relativ geringem Aufwand möglich. Mit einem Cookie (kleine Textdateien, die der Browser ablegt) kann ein Seitenbetreiber einen Rechner einigermaßen zuverlässig markieren, mit sogenannten Flash-Cookies geht das auch unabhängig vom Browser.

Für die meisten Surfer ist das ein Schock: Auch wo Sie sich in der Zeit seit der letzten Flash-Cookie-Löschung Videos angesehen haben, weiß das Plug-in und meldet es nicht nur dem betreffenden Web-Seiten-Anbieter, sondern im Extremfall auch allen seinen Kooperationspartnern. Im Extremfall lassen sich so Profile eines persönlichen Netz-Nutzungsverhaltens erstellen. Wer das nicht glaubt, schaue sich die Flash-Cookie-History des eigenen Browsers an:

Die hier verlinkte Seite ist zugleich die Schnittstelle, über die sich diese Dokumentation der eigenen Video-Nutzung löschen lässt.


Allerdings könnten anhand der von Browsern übermittelten Informationen durchaus Rechner identifiziert und mit etwas Aufwand vielleicht auch Namen zugeordnet werden. Das hängt davon ab, wie viele Analysemethoden die Betreiber kombinieren und ob die ausgehorchten Surfer irgendwo im Netz mit ihrem Klarnamen aktiv sind. Rechner lassen sich auch ohne den Einsatz von Cookies ausschließlich serverseitig identifizieren. Entsprechende Datenbanken bieten viele Unternehmen an.

Browser-Konfiguration als Fingerabdruck

Der Ansatz ist raffiniert: Rechner erhalten auf Basis der Konfiguration eine ID. Um Rechner voneinander zu unterscheiden, genügen in vielen Fällen die vom Browser übermittelten Informationen. Der Informatiker Wondracek erklärt: "Vergleicht man die verfügbaren Informationen über installierte Schriftarten und Browser-Plug-ins, Betriebsystem und Browser, installierte Software und Bildschirmauflösung, sind Rechner gut voneinander zu unterscheiden."

Diese Geräte-Profile lassen sich auch serverseitig speichern, diese Information kann der Nutzer nicht durch das Löschen von Cookies aus der Welt schaffen. Bei einem Experiment mit 470.000 Datensätzen demonstrierte die US-Organisation EFF (Electronic Frontier Foundation) im Frühjahr, wie gut dieser Browser-Fingerabdruck Rechner auseinanderhält: 83,6 Prozent der aufrufenden Computer hatten ein eindeutiges Profil.

Sollte sich jemand die Mühe machen, die Möglichkeiten der Rechneridentifikation mit dem History Hijacking zu verknüpfen, sind sehr zielgerichtete Angriffe auf Web-Nutzer denkbar. Ein denkbares Beispiel: Ein Angreifer schleust auf diversen Seiten über Werbung oder Angriffe einen Code ein, der analysiert, welche Rechner Browser mit bestimmten Sicherheitslücken verwenden, welche Sprache die Nutzer sprechen und ob sie zum Beispiel oft Motorradseiten aufrufen.

Mit diesen Informationen können Angreifer dann im nächsten Schritt auf die einzelnen Zielgruppen abgestimmte Lockangebote auf den Seiten einschleusen, die Opfer auf Web-Seiten mit Phishing- oder Schadsoftware lockt. In dem hypothetischen Fall könnte der Angreifer zum Beispiel einfach allen Mopedfreunden eine Anzeige für ein neues Motorradportal zeigen.

Diesen Artikel...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: