Web Bugs

Einleitung

Daten über die Verhaltensweisen der Internetbenutzer sind begehrt. Obgleich schon bald fast jede Website und natürlich jede Internet-Werbeagentur Cookies verwendet, um die Surfer und potentiellen Kunden zu identifizieren, haben diese die "schlechte" Eigenschaft, dass ihr Setzen über die Browser-Einstellung verhindert oder zumindest einsehbar und z.T. sogar kontrollierbar sind.

Nach den Cookies die Web Bugs

Mit einem bislang noch wenig bekannten Verfahren lässt sich aber auch diese Abwehr der Benutzer, die nicht so gerne ihre Daten bereitwillig abliefern wollen, möglicherweise mit sog. Web Bugs umgehen.

Was sind Web Bugs?

Web Bugs sind winzige GIFs mit einer Grösse von normalerweise 1x1 Pixel, die auch in anderen Grafiken versteckt werden können. Nur wer sich den Source Code einer Website ansieht, kann die Web Bugs als IMG-Tags erkennen. Wegen dieser Eigenschaft, werden sie auch eingesetzt, weil so die Benutzer nicht bemerken, dass sie beobachtet werden. Ein Web Bug sendet die IP-Adresse, die URL der besuchten Webseite, die URL des Web Bug GIFs, den Zeitpunkt, an dem der Web Bug angeschaut wurde, den Browsertyp sowie die Informationen eines zuvor gesetzten Cookies an einen Server. Von Interesse sind Web Bugs weil sie zusätzliche Informationen zu denjenigen übermitteln, die mit einem Cookie erfasst werden. Innerhalb eines Werbenetzes, also von Werbungen auf unterschiedlichen Websites einer Online-Agentur, können zusammen mit Cookies genauere statistische Informationen über Benutzer erfasst werden.

Mit Cookies alleine können nicht einzelne Nutzer, sondern nur die IP-Adressen identifiziert werden. Wird man aber dazu aufgefordert, persönliche Angaben zu machen, dann kann die ID-Nummer des Cookies oder des Web Bug mit diesen Informationen verbunden werden, wodruch sich ein persönliches Profil erstellen lässt. Allerdings haben DoubleClick und andere Online-Agenturen unlängst eine "Informationsallianz" bekannt gegeben, um die Informationen über Benutzer auszutauschen. Damit wird es möglich, dass die Werbeagenturen die Benutzer, von denen sie persönliche Informationen besitzen, mit den Cookies von den anderen Agenturen verbinden können, so dass sich ein umfassenderes Bild der Wege von Surfern im Web ergibt.

DoubleClick, die bislang größte Internet-Werbeagentur mit einem Netz aus über 9000 Websites, auf denen Werbung plaziert wird, kann bereits ein umfassendes Profil von Besuchern der zum eigenen Netzwerk gehörenden Websites erstellen ("clickstream"), wodurch sich sehen lässt, welche Websites und in welcher Reihenfolge von einer Person besucht werden. Bei den Informationen über den Datenschutz auf einer Website steht dazu meist nur ein lapidarer Satz dieser Art: "Werbungsnetzwerke, die Yahoo! mit Werbung versorgen, können auch Ihre eigenen Cookies verwenden." (Yahoo) Diese werden dann ebensowenig von den Datenschutzrichtlinien der Websites abgedeckt wie die der anderen Anbieter auf einer Portalsite. Wer sich keine Cookies setzen lassen will, wird häufig bereits von einigen Möglichkeiten ausgeschlossen. Hier nur als Beispiel wieder Yahoo: "Wenn Sie die Option wählen alle Cookies abzulehnen, können Sie nicht die Yahoo!-Dienste nutzen, bei denen für eine Teilnahme Ihre Anmeldung erforderlich ist. Zu diesen Diensten gehören u.a.: Yahoo! Mail, Mein Yahoo!, Kalender, Chat, Messageboards, und das Erstellen eines Portfolios in Yahoo! Finanzen. Sie können dennoch Yahoo! Shopping und Yahoo! Auktionen sowie viele weitere Yahoo!-Sites nutzen, auch wenn Sie keine Cookies akzeptieren."

Web Bugs können etwa auch in Werbe-Emails eingesetzt werden. Barnes and Nobles, eToys, Cooking.com, Microsoft oder Infobeat sollen sie schon verwendet haben. In die URL des Web Bug wird in diesem Fall auch meist die Mailadresse eingefügt, da sie ja schon bekannt ist. Mit Web Bugs in Emails lässt sich feststellen, ob und wann eine Email geöffnet wurde, was nützlich sein kann, wenn man überprüfen will, wie viele der Werbemails gelesen wurden. Sie lassen sich auch verwenden, um den Cookie des Browsers mit einer bestimmten Mailadresse zu verknüpfen, so dass ein Besucher bekannt ist, wenn er später eine Website aufruft. Wenn jemand mit dem Outlook Express oder dem Netscape Messenger Mitteilungen in einer Newsgroup liest, so lassen sich mit einem Web Bug auch diese Leser identifizieren.

Wie funktionieren Web Bugs?

Anbei zwei Beispiele wie Web Bugs in den Source-Code von HTML-Seiten eingebettet werden: 
<img src="http://ad.doubleclick.net/ad/pixel.quicken/NEW" width=1 height=1 border=0>

<IMG WIDTH=1 HEIGHT=1 border=0
 SRC="http://media.preferences.com/ping?ML_SD=IntuitTE_Intuit_1x1_RunOfSite_A
 ny&db_afcr=4B31-C2FB-10E2C&event=reghome&group=register&time=1999.10.27.20.56.37">

Die beiden Web Bugs wurden z.B. in der Homepage von quicken.com platziert, um sog. "Hit" bzw. Anklick-Informationen über die Besucher an DoubelClick und MatchLogic (aka, preferences.com) - zweier Internet Werbeagenturen - zu senden.

Web Bugs in E-Mails nutzten dieselbe Technik, nur dass hier sogar noch die E-Mail Adresse - welche ja aufgrund des gesendeten E-Mails bekannt ist - gleich auch noch mitgeliefert wird (als reiner Text oder verschlüsselt).

Natülich funktioniert dies nur, wenn das E-Mail Programm auch die HTLM-Anzeige von Nachrichten unterstützt. Dies tut mittlerweile praktisch jedes, wie Outlook, Outlook Express, Netscape Messenger, Eudora und alle HTML-basierten Web-E-Mail Dienste, wie Hotmail, Yahoo, GMX, etc. 

<img src="http://www.adsfomail.com/webbug.gif?email=paul@iii.com>

Der Benutzer bemerkt von dem gar nichts. Der Web-Browser holt sich einfach die angegebene Graphik - wie jede andere Graphik auch - automatisch, und ohne dass dabei eine wesentliche Verzögerung oder ein Sicherheitshinweis eingeblendet wird, wie z.B. bei Cookies.

Der vom Web-Browser ankommende GET (Graphik) Request wird dann vom Server inklusive mitgelieferter Parameter und Umgebungsvariabeln (Environment Variables) analysiert und ausgewertet. Danach sendet der Server dem Web-Browser die unbedeutende 1x1 Pixel Graphik, womit sich der Web-Browser zufrieden gibt, denn mehr hat er ja nicht verlangt.

Anbei ein Beispiel der vom Server auswertbaren Informationen aus dem GET Request: 

  
GET /webbug.gif?email=paul@iii.com HTTP/1.0
Connection: Keep-Alive
User-Agent: Mozilla/4.7 [en] (Win98; I)
Host: www.adsfomail.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Cookie: id=ads-c643640a

Der (Werbe)-Server extrahiert nun die ID aus einem Cookie, welches u.U. auch von einer anderen zuvor besuchten Web-Site bereits gesetzt wurde, und durchsucht seine Datenbank der gegenwärtig noch "anonymen" Web-Surfer-Profile nach derselben Cookie ID. Findet dieser einen Eintrag (d.h. dieses Cookie stammt vom selben Web-Browser eines bisher noch unbekannten Surfers), extrahiert der (Werbe)-Server auch noch die im GET Request mitgelieferte E-Mail Adresse. Diese wird dann mit den gefundenen Datenbankeinträgen verknüpft, und schon wird aus einem "anonymen" Surfer Profil ein "identifiziertes" Benutzerprofil!

E-Mail Phishing

Ein erweiterter Trick von Web Bugs ist das Stehlen von E-Mail Nachrichten dem sog. "E-Mail Phishing" oder "E-Mail Wiretapping". Diese Technik funktioniert bei allen E-Mail Programmen, welche HTML, JavaScript und DOM (Document Object Model) unterstützen. Dies ist möglich weil JavaScript im E-Mail Programm die Nachricht lesen und als weiterer Parameter in einen Web Bug GET Request einbetten kann. Damit können auch sämtliche E-Mail Adressen im Header der E-Mail weitergegeben werden!

Gegenmassnahmen

Anbei einige Tips wie Sie den Web Bugs entgegenwirken können:
  1. Klicken Sie einfach auf keine URLs (Links) in E-Mail Nachrichten!

  2. Wenn Sie dennoch mal reinschauen wollen, was da angeboten wird, dann kopieren Sie den URL (Link) und tragen diesen in Ihren Web-Browser ein. Doch bevor Sie [ENTER] drücken, sehen Sie sich den ganzen Text (String) der URL genau an. Achten Sie auf benutzerspezifische Inhalte wie IDs, oder E-Mail Adressen und entfernen Sie diese aus der URL.

  3. Deaktivieren Sie JavaScript und Active Scripting für "eMail and Newsgroups" in Ihren Browser- bzw. E-Mail Client Programmen!

  4. Verwenden Sie den reinen Textmodus zum Lesen von E-Mail Nachrichten. Bei praktisch allen neueren E-Mail Programmen lässt sich der HTML-Betrachtungs-Modus ausschalten.

  5. Wenn möglich deaktivieren Sie das Setzen von Cookies sowie das Laden von Graphiken in E-Mail.

  6. Sorgen Sie dafür, dass Cookies in Ihrem Browser oder E-Mail Programm regelmässig gelöscht werden, bzw. beschränken sie deren Lebenszeit auf ein Minimum.

  7. Verwenden Sie für E-Mail und Surfen keine Kombiprodukte wie Internet Explorer und Outlook, oder Netscape Navigator mit Messanger (gilt auch für Mozilla), sondern getrennte Programme, wie z.B. Mozilla Firefox und Mozilla Thunderbird.

  8. Verwenden Sie für Sie weniger wichtige Informationsdienste, bei welchen ein Account bzw. Login oder andere Benutzerangaben (z.B. eine E-Mail Adresse) erforderlich sind, nicht Ihre Haupt-E-Mail Addresse. Legen Sie sich eine sog. Dummy oder Zweit-E-Mail Adresse zu, welche Sie für diese Zwecke einsetzen können.

  9. Installieren Sie ein "Anti-Web-Bug-Programm" (siehe "Internet Software").

zurück