Dienstag, 29. September 2015

Allgemeine Zeitung: Eine Datenkrake am Rande der Legalität

Das Webseiten ihre Benutzer gerne ausspionieren ist bekannt. Die AZ geht jedoch noch einen Schritt weiter, in dem sie die Evercookie genannte Technik einsetzt. Eine Methode, die auch von der NSA bereits zur Spionage benutzt wurde.

Das besondere bei Evercookies ist, dass sie sich nicht löschen lassen und auch im "Private Surfen" Modus des Browser noch funktionieren. Darüber hinaus sind Cookies immer an eine Seite/Domain gebunden, wohingegen Evercookies diesen Sicherheits-Mechanismus durchbrechen und auch auf anderen Seiten den Benutzer weiter verfolgen.

Generell missbraucht die Technik zahlreiche Funktionen, die gar nicht zum Speichern von Daten gedacht sind und stört so deren eigentlichen Zweck. Wie ein Virus kopiert das Script seine Daten an alle verfügbaren Stellen. Löscht oder überschreibt man eine Speicherort, wird dieser automatisch aus den anderen Quellen wiederhergestellt. So zum Beispiel, wenn im Browser seine Cookies löscht.

Der Autor selbst gibt einige Gründe an warum man Evercookie nicht verwenden sollte und schreibt "Be warned! Evercookie can potentially cause problems for you or your users.". Aufgeführt sind Performance- und Darstellungs-Probleme, aber auch das es Ansehen und Ruf der Seite schaden kann.

Ich persönlich finde es eine Frechheit, was die AZ ihren Lesern zumutet. Zudem bezweifel ich, dass solche Hacker Methoden in Deutschland legal sind.


Der Evercookie ist bei der Allgemeinen Zeitung zur Zeit hier zu finden:


Update 01.10.2015

Da ich verwundert war, dass sich jemand in Deutschland traut Evercookies einzusetzen habe ich mal nach anderen Seiten gesucht ob dies eine verbreitete Technik ist. Bei der Quellcode-Suchmaschine meanpath findet sich jedoch nur 5 Treffer. Die meisten davon schein zwar eine deutsche .de Domain zu haben, aber zu einem ausländische Unternehmen zu gehören.

Außerdem habe ich noch einen Rechsanwalt gefunden, der die Verwendung in Deutschland ebenfalls als problematisch bewertet.


Mittwoch, 16. September 2015

Spam-Welle in Deutschland

Gerade läuft eine Spam-Welle. Die sehen u.a. so aus:

Guten Tag,
Wir bieten Ihnen Kredite zu guten Konditionen an von 2000 bis zu 100 000 Euro
Kreditantrag ist für Sie kostenlos.
Auch ohne Schufa!

Schaut man sich die Mail Header an, sieht man woher die Mail kommt:

Received: from edenbrent.com ([79.165.77.63]) by mx-ha.gmx.net (mxgmx105) with
 ESMTP (Nemesis) id xxxxxxxxxxxxxxxxx for ; Wed, 16
 Sep 2015 09:10:11 +0200
Received: by %108.16.130.32; Wed, 16 Sep 2015 11:04:03 +0300

Also von 108.16.130.32 über edenbrent.com. Die IP wird von einem Botnetz sein, das habe ich mir nicht weiter angeschaut. Interessanter ist der Host über den die Mails verschickt werden. Da gibt es noch viele weitere:



Es fällt sofort auf, dass es alles Wordpress Seiten sind, womit klar ist, dass die Seite wohl gehacked wurden und nun munter Spam verschicken.

Ich habe die Seitenbetreiber nun mal angeschrieben, aber bei der unendlichen Anzahl von Wordpress Seiten ist das natürlich mühsam. Interessant wäre zu wissen über welche Lücke die Seite gehacked wurden...