In den vergangenen Tagen ist es vermehrt vorgekommen, dass ich Werbung zu einfach zu machendem Geld im Netz gesehen habe. Entweder gibt einem die Regierung Kohle oder vielleicht Google.

Wunschdenken
Als allererstes sei gesagt: Im Internet liegt das Geld nicht einfach so in der Leitung. Genau wie überall anders muss hart gearbeitet werden, um Geld zu sehen.

Die Anzeige verspricht nun 5000 Dollar im Monat! Um der Seite nicht zu helfen, musste ich den Link etwas verstümmeln: www PUNKT tonysmoneyblogPUNKT com SLASH mystory.html?t202id=12761&t202kw=#

Interessant ist nun folgendes: Wenn man nur den Domainnamen eingibt, erhält man eine weiße Seite mit keinem Inhalt. Das macht schonmal suspekt. Dann gibt es auf der Seite selber Hinweise darauf, dass es Firmen gibt, die viel Geld versprechen und dann aber doch nur abzocken (der Verfasser war schon ziemlich ironisch, scheint es) – darauf solle man aufpassen. Ansonsten gibt es nur ganz viel herzerweichendes Blabla, ein paar Familienfotos, gefunden auf ikea.de und schließlich Links. Eine der Webseiten fing plötzlich an zu sprechen.

Mogelpackung
Diese Domains – mit irgendwelchen “Blogs” von Familienvätern oder Hausfrauen – sprießen momentan wie Pilze aus dem Boden. Es wird für die Google – Versprechen immer Easy Google Profit angeworben. Man wird über irgendwelche verschwurbelten Weiterleitungen auf eine kommerzielle Seite weitergeleitet – und muss seine kompletten Adressdaten mitsamt E-Mail – Adresse eingeben. Es gibt sogar einen kleinen Counter, der abwährts zählt – in drei Minuten ist das Angebot beendet. Doch wenn die Zeit abgelaufen ist, fängt sie einfach von vorne an. Na toll.

Gefahrenabwehr
Google weist darauf hin, dass sie das Produkt nicht anbieten. Blogstorm weiß noch ein wenig mehr zu berichten.

Mal wieder klar: Am besten gibt man seine Daten nicht weg, vor allem nicht, wenn man mit niemandem persönlich geredet hat. Nicht, dass es auch mit persönlichem Kontakt Betrug gibt, aber die Situation ist eine andere.

Warum, ist mir gerade mal so aufgegangen, warum nutzt man GeoIP eigentlich nicht für bessere Webseiten? Und zwar auf die Adresse genau, das muss doch irgendwie möglich sein. Klar, man kann auch einfach seine Adresse eingeben, um die herum gesucht werden soll. Erstens ist das aber doch langweilig und zweitens weiß man die als Reisender schlicht nicht.

Ich sehe die Datenschützer schon springen (ich auch ein wenig). Aber auf der anderen Seite wäre es doch völlig cool für Reisende: Rechner anstöpseln, Gelbe Seiten suchen oder Google und alles im Umkreis finden. Selbst die Werbung könnte doch regionsbezogen sein und je nachdem, wo man seine Gelben Seiten aufruft, bekommt man nur Werbung aus einem Kilometer Umkreis zu sehen.

Jemand, der das umsetzen will? Keiner?

Schade.

Schon seitdem ich mir den eee PC 900 gekauft habe, habe ich immer im Hinterkopf gehabt, irgendwann einmal die Linux-Version zu wechseln. Ganz besonders sympathisch war mir da Ubuntu, eine der besten Einsteigerdistributionen. Außerdem basierte das völlig veraltete XandrOS auch auf Debian bzw. Ubuntu.

Nur war mir die Installation zu aufwändig. So viel musste angepasst werden, vom Kernel über die WiFi-Treiber hin zu allen möglichen Kleinigkeiten. Aber dafür gibt es doch eeebuntu, hat mir das Internet dann vor einigen Tagen gesagt. Zwar gibt es auch Distros wie Easy Peasy oder Puppy Linux oder Fedora, wie auch immer, ich wollte eeebuntu.

Also Image gezogen und den PC komplett neu aufgesetzt. Normalerweise besitzt der eee PC 900 ein Shadow-Image, um eine Systemwiederherstellung durchführen zu können. Weg damit. Außerdem, und auch das hat mir Herr Google gesagt, sind zwei SD Karten in meinem Rechner verbaut. Eine 4GB und eine 16GB. Um so besser, die 4GB ist nun für das System vorgesehen und die 16GB ist mein Home-Verzeichnis.

Klar, es müssen auch hier noch verschiedenste Anpassungen durchgeführt werden. Einer der ulkigsten Fehler war, das beim Einstecken der Stromversorgung (!) die Fehlermeldung kam, dass das Mail-Programm Eudora nicht gestartet werden konnte. Und sicher ist das auf Ubuntu 8.10 basierende eeebuntu 2.0 noch nicht perfekt. Aber nun kann ich zumindest Spiele wie Secret Maryo Chronicles spielen – das war mit XandrOS gar nicht möglich, weil sich das System nicht auf OpenGL 2.0 updaten ließ. Ein weiterer Vorteil ist, dass ich nun an die offiziellen Updates von Ubuntu angebunden bin. Die Software haben keine Versionen von vor zwei Jahren, die mit nichts kompatibel sind. Dazu kommt, das der eee PC unter XandrOS immer wieder dieses Stottern hatte. Videos oder Games hingen manchmal ein wenig. Mit ein, zwei Tricks passiert das mit eeebuntu nicht mehr – endlich!

Davon mal abgesehen ist der 3D-Desktop von Compiz mit seinen rotierenden Desktops auf der kleinen 900 MHz-Maschine völlig flüssig – und sehr cool anzusehen…

Manchmal gibt es diese grossen Gewinnspiele mitten in der Stadt. Vielleicht ein Audi, ein Haus oder ein teures Objekt eurer Wahl ist zu gewinnen.

Was muss man dafür tun? Nur diese eine Postkarte mit all meinen Daten ausfüllen (was mich aus Datenschutzgründen schon nervös macht). Unterschreiben und ins Auto hinein werfen. Dann noch viel Glück, vielleicht klappts ja!

Hintergrund

Zwar sind die entsprechenden Firmen gesetzlich dazu verpflichtet, den Zweck der Unterschrift auf den Karten zu vermerken. Aber das geschieht meist auf Schriftgrösse Zwei. Und wer liest sich das denn schon durch?

Doch meist ergibt sich bei einem genauen Blick erstaunliches: Die angegeben Daten werden durch die Unterschrift zu Zwecken der Datenverarbeitung freigegeben. Soll heissen: Die Firma verkauft eure Daten einfach weiter an andere Drückerkolonnen am Telefon. Oder, falls nur die Adresse angegeben wurde, man bekommt nach einiger Zeit Werbung in den Briefkasten. Auch e-Mail – Adressen lassen sich super weiterverkaufen.

Ich wollte das Auto aber!

Wer trotzdem sein Glück versuchen möchte, kann einfach einen bestimmten Schreibfehler in den Namen oder die Adresse einbauen. Dann die Karte einwerfen, eine weitere verlangen und den Schreibfehler notieren. Mal sehen, ob was kommt!

Jetzt bekomme ich Werbung

Genau wie bei ungefragten Telefonanrufen sind Sendungen, auch wenn eine Adresse vorliegt, ohne vorherige Einwilligung unzulässig. Doch es gibt eine Möglichkeit bei Firmen aus Deutschland: Ein Schreiben, gestützt auf dem Bundesdatenschutzgesetz (BDSG).

Im Paragraph 34 des Gesetzes heisst es

Der Betroffene kann Auskunft verlangen über:
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
2. Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, und
3. den Zweck der Speicherung.

(Quelle)

Also einfach ein Schreiben aufsetzen, welches sich auf BDSG Paragraph 34, Abs. 1-3 beruft. Dann ist der Anbieter verpflichtet, ein Antwortschreiben aufzusetzen, um Auskunft zu erteilen.

Außerdem sollte noch auf den Paragraphen 35, Absatz 2, Satz 2, Nummer 1 verwiesen werden. Hier steht geschrieben, dass ein Privatmensch die gespeicherten Daten löschen lassen kann, wenn die Speicherung unzulässig ist.

Um dem ganzen noch ein wenig Druck zu verleihen, kann man den Hinweis auf rechtliche Schritte aufnehmen, wenn der Brief ignoriert wird und weiterhin Werbung gesendet wird.

Das Ganze bedeutet zwar Arbeit (und ein wenig Kosten, wenn man ein Einschreiben nutzt), aber Genugtuung bei einer positiven Beantwortung. Und das Recht steht dazu noch auf unserer Seite.

Obwohl ein wichtiges Thema, kümmern sich viele nicht um ihre persönlichen Daten in Internetcafes. Einfache Methoden, wie zum Beispiel die PortableApps auf einem USB-Stick, können Linderung schaffen. Doch völlig sicher ist man nie. Eine paranoide Betrachtung des Sachverhaltes.

Datenleichen

Testweise habe ich auf drei verschiedenen Computern in unterschiedlichen Cafes mal nach alten Daten geschaut:

• Logindaten von MSN Messenger und Skype
• Cookiedaten von Flash
• History im Internet Explorer und Firefox

Ergebnis

Logindaten: Die gespeicherten Daten der Skype- und MSN – Clients bieten Möglichkeiten, Useraccounts und vielleicht eine gespeicherte History abzurufen.

Flash-Cookies: Hier fanden sich allerhand Werbe- und Videoseiten, unter anderem Pornoseiten. Datum und Uhrzeit geben leicht Aufschluss über die besuchten Seiten des Vorgängers.

History: 2 der 3 Rechner hatten eine History von 7 oder mehr Tagen aktiviert. Im Internet Explorer war die History noch vorhanden und reichte von Pornoseiten zu Spongebobvideos. Man konnte auch in etwa sehen, woher der Besucher kam – eine Seite mit der Endung .nl wird wohl von einem Holländer angesurft worden sein. Firefox hatte in jedem Fall die Einstellung, dass alle personenbezogenen Daten am Ende einer Session gelöscht werden sollen.

Wenn man also früh in das Cafe geht und einen Rechner abwartet, an dem vorher nur ein Nutzer war, dann kann man sich anhand der History ziemlich sicher sein, wo er unterwegs war. Und vielleicht bekommt man sogar seinen Namen in Verbindung mit den MSN oder Skype – Daten heraus. Durch Verbindung von Datum und Uhrzeit der einzelnen Dateien kann man sich relativ einfach einen Datenpool der besuchten Seiten, Usernamen und Surfgewohnheiten machen. Zumal ich noch nicht einmal alle Quellen betrachtet habe (Internet Explorer Cookies, Temp-Verzeichnis, etc). Ein ziemlich offenes Buch für vermeintliche Anonymität.

Superman

Keiner der getesteten Computer machte Gebrauch von Benutzerrechten. Alle Computer liefen unter dem Administrator-Account. Einer hatte zwar ein paar Spielereien wie eine deaktivierte Kommandozeile und ein eingeschränktes Startmenü. Aber solange man Zugriff per USB zulässt, ist das schnell umgangen. CMD-Dateien mit entsprechenden Befehlen (zum Beispiel start C:\WINDOWS\system32\cmd.exe) gewähren schnell Zugriff auf systeminterne Dateien. An einem anderen Rechner war zwar kein Startmenü geschweige denn ein Kontextmenü vorhanden, aber ein Druck auf Win+E brachte den Explorer mit Vollzugriff auf den Bildschirm.

Auf der anderen Seite bedeutet das, dass eigentlich jeder etwas versiertere Nutzer mit finsteren Zielen auf den Computern einen Trojaner oder, besser noch, einen Keylogger installieren kann. Denn jeder Reisende muss zumindest ab und an mal in seinen Mail-Account schauen. Oder Online-Banking machen. Und egal, wie aktuell die Version der Software ist. Egal, ob SSL mit 128 Bit oder nicht. Wenn ein Keylogger mit auf die Tasten schaut, kann man nichts machen.

Jetzt hab ich Angst

Doch dieser Fall ist sehr unwahrscheinlich. Trotzdem bietet es sich an, wichtige Dinge wie Online-Banking nur über PCs zu machen, denen man traut. Ein Bekannter mit Laptop in einem Hostel ist vertrauenswürdiger als ein Computer in einem Cafe. Ob die Übertragung im W-LAN hingegen sicher ist, soll Thema eines anderen Beitrages sein. Ausserdem erhöht die Nutzung eigener Programme die Sicherheit. Falls dies einmal nicht möglich ist, so sollte man – soweit möglich – Cookies und andere personenbezogene Daten nach dem Ende einer Session löschen. Denn man sollte nicht vergessen, welche Spuren man (völlig ungeahnt) hinterlassen kann.

In Internet-Cafes finde ich es öde, dass es unterschiedlichste Versionen von Sofware gibt. Es kam schon vor, dass auf einer Windows-Kiste eine Uralt-Version vom Internet Explorer installiert war. Und sonst nix.

Auf meinem Laptop hingegen habe ich meine Umgebung immer parat. Wie kann ich so etwas auch auf einem USB-Stick hinbekommen?

Beweglich

Dazu haben ein paar schlaue Köpfe die sogenannten Portable Apps zusammengestellt. Das sind gängige Programme wie Firefox (Version 2 oder 3), Thunderbird (Mail), Pidgin (Instant Messenger) oder gar Gimp (Bildbearbeitung). In der dicken Version ist OpenOffice enthalten. All diese Programme sind kostenlos und sehr mächtig. Es gibt noch weitere, von denen es PortableApps-Versionen gibt. Und wer etwas Zeit und Expertise hat, kann versuchen, selber Software hinzuzufügen, von der es keine PortableApps-Version gibt. So hab ich bei mir noch Skype und den Altap Salamander eingebunden.

Skype konfigurieren

Zwei Dinge müssen getan werden. Erstens muss Skype auf den USB-Stick kopiert werden und zweitens eine Datei angelegt werden, um Skype zu starten.

Zuerst einen neuen Ordner anlegen:

[usb-stick]/PortableApps/Skype

Dann die Skype.exe aus dem Programme-Ordner in den neu erstellten Ordner kopieren. Wichtig ist nun, dass noch ein Unterordner Data erstellt wird:

[usb-stick]/PortableApps/Skype/Data

Im Skype Ordner wird nun eine Datei startskype.cmd Skype-Ordner erstellt. In die Datei folgendes eingeben:

start skype.exe /datapath:"Data" /removable

Leider lässt sich keine .cmd oder .bat – Datei in das Menü der PortableApps einbinden. Jedesmal, wenn Skype benötigt wird, muss man in den Skype-Ordner gehen und die cmd-Datei starten.

Hier gehts weiter für Experten.

Altap Salamander konfigurieren

Für mich der Dateimanager ausser Konkurenz. Benutze ihn selbst unter Linux mit Wine. Seit der Version 2.52 kann man eine Kommandozeilenoption nutzen, um die Konfiguration von einer Datei zu laden. Wird zwar (glaube ich) noch immer in die Registry gespeichert, aber damit kann ich leben – keine wichtigen Informationen landen dort.

Im Menü gibt es einen Knopf Export Configuration. Danach klickt man auf No, die Registry soll nicht geupdated werden. Und nun kann man sich den Ordner auswählen, in dem die Datei gespeichert werden soll.

Hier gelten wieder die gleichen Massnahmen wie bei Skype: Salamander ist in einen eigenen Ordner installiert worden und die Datei config_.reg wird nun in diesen Ordner kopiert.

Nun noch eine start_salamand.cmd anlegen mit folgendem Inhalt:

@start salamand.paf.exe -C config_.reg

Später einfach in den Ordner wechseln, cmd ausführen und Salamander hat die vorgegebene Konfiguration.

Unsichtbar

Ein weiterer Vorteil ist, dass die Programme so konfiguriert sind, dass sie keine Spuren auf dem PC hinterlassen. Und man kann sie so konfigurieren, wie man lustig ist – somit hat man eine immer gleiche Konfiguration auf jedem Rechner auf der Welt. Vorausgesetzt, Windows ist installiert und es gibt einen USB-Anschluss. Und das ist allermeistens der Fall.

Profis

Für die Profis gibt es ein erweitertes Menü mit etwas mehr Funktionalität (TrueCrypt enthalten und mehr):

http://geek-menu.sourceforge.net/

Für mich ein absolutes Muss, wenn es um Datenschutz und sichere Computernutztung geht.

Via [http://portableapps.com/de]

Ist euch das auch schon mal passiert? Das Telefon sagt Unbekannter Anrufer, man nimmt ab und jemand aus einem Callcenter in Usbekistan fragt, ob man eben kurz Zeit hat und möchten einen ein Produkt andrehen.

Hier wurde eure Telefonnummer wohl an dubiose Telefonfirmen verkauft, welche sogenannte Cold Calls machen. Die sind eigentlich unzulässige Werbung und bewegen sich in einer rechtlichen Dunkelgrauzone. Falls ihr vorher eine schriftliche Einwilligung gesendet habt, dann ist alles in Ordnung. Aber meist ist das nie vorher geschehen. Also wie reagieren?

Reaktion

Mir war irgendwann egal, was die Telefonierer anzubieten hatten. Sobald ich Unbekannter Anrufer im Display gesehen habe, bin ich kreativ geworden.

• Müller – Ich hab einen auf Herrn Müller gemacht. Tiefe Stimme. Maasland? Nie gehört. Wirkt ziemlich schnell.

• Taub – Etwas fies, aber schnell wirksam. Einfach so tun, als ob man nichts hören kann.

Die Idee hinter diesen Antworten liegt darin, dass der jeweilige Anbieter mit hoher Wahrscheinlichkeit den Datensatz löscht. Manchmal, wenn man sehr freundlich auf diese Drückerkolonnen eingeht, rufen sie nach einiger Zeit wieder an.

Man hat mich schliesslich nie gefragt, ob ich auch so einen Anruf erhalten möchte.

Das schlimme ist nur, dass ich mir teilweise das Lachen nicht verkneifen konnte. Und einmal hat meine Oma vor Schreck sofort wieder aufgelegt. Ups!

Vermeiden

Offiziell gibt es die Robinson-Liste, auf der man sich eintragen kann, damit man nicht weiter angerufen wird. Dem sollte man aber nicht komplett trauen. Wenn eine Firma wirklich Verträge drücken will, ignoriert sie die Robinson-Liste.

Ich hatte sogar einen Fall, wo mir jemand einen Eintrag in der Robinson-Liste verkaufen wollte. Per Telefonanruf!

Falls euch meine Ideen nicht zusagen, gibt es noch das sogenannte Counterskript. Martijn Engelbrecht hat dazu ein mehrsprachiges Dokument verfasst, mit dem man genau wie die Anrufer anhand eines Ablaufes auf Anrufe reagieren kann. So geht man einfach gar nicht auf die gestellten Fragen ein, sondern stellt einfach Gegenfragen. Man notiert sich die Ergebnisse und kann sich an eine der Verbraucherschutzzentralen wenden. Als erstes wird übrigens die Frage nach dem Namen des Anrufers gestellt, die die meisten Anrufer schon nervös werden lässt.

Die meisten Menschen empfinden diese ungebetenen Anrufe als Eingriff in die eigene Privatsphäre. Zu freundlich zu den Anrufern zu sein ist das falsche Mittel der Wahl.

Mehr oder weniger. Wenn Speicherriegel nach dem Abschalten eines Computers physikalisch erreichbar sind (will sagen, ein Angreifer sitzt neben dem Rechner), so kann er mit bestimmten Methoden geschützte Daten auslesen.

Festgestellt hat dies ein Team an der Priceton University. Mit speziellen Tools können sie Daten aus TrueCrypt-verschlüsselten Bereichen auslesen. Auch BitLocker oder FileVault sind angreifbar.

Es ist nun nicht so, dass alles im Klartext ausgelesen werden kann. Speicher ist flüchtig, nur flüchtet er nicht sofort. Und die noch vorhandenen Bereiche lassen sich auslesen, selbst Minuten nach dem entfernen vom Mainboard.

Zwar ist diese Methode bei weitem nicht am Heimcomputer zu erwarten. Es ist nur spannend zu sehen, zu was die Technik in der Lage ist.

Funktioniert für eee 900, Xandros Linux im Advanced Mode.

In der Datei

/etc/acpi/suspend2ram.sh

folgende Zeile hinzufügen (siehe unter Kommentar “Lock desktop”):

# Switch on external video port. Prevents hangs.
su user -c "DISPLAY=:0.0 /usr/bin/xrandr --output VGA --mode 1024x768"

# Lock desktop
su user -c "DISPLAY=:0.0 kdesktop_lock --forcelock &"

echo "0 0 0 0">/proc/sys/kernel/printk

Und schon wird der Desktop gesperrt, wenn man den eee PC zuklappt.

English version

Tested on the eee 900 Xandros Linux in Advanced Mode.

Add in the file

/etc/acpi/suspend2ram.sh

the following line (see unter comment “Lock desktop”):

# Switch on external video port. Prevents hangs.
su user -c "DISPLAY=:0.0 /usr/bin/xrandr --output VGA --mode 1024x768"

# Lock desktop
su user -c "DISPLAY=:0.0 kdesktop_lock --forcelock &"

echo "0 0 0 0">/proc/sys/kernel/printk

And now your desktop will be locked if you open up the lid again after suspend.

Der Normalbenutzer kümmert sich größtenteils nicht um Cookies. Behaupte ich mal provokativ. Der fortgeschrittene Nutzer löscht die Cookies ab und an oder beim Schließen des Browsers.

Und der Experte denkt sich, mit Löschen und dem generellen Deaktivieren von Cookies ist er völlig auf der sicheren Seite und es gibt keine kleinen Datenspeicher auf seiner Seite.

Falsch.

Sobald der Benutzer Adobe Flash benutzt, gibt es eine weitere Möglichkeit der Webseitenbetreiber, Cookies abzulegen. Die Standardeinstellung ist 100KB für jede Seite (was ich recht ordentlich finde). Schlauerweise heißen die Cookies bei Adobe nicht Cookies, sondern Local Shared Object (LSO). Abgelegt werden die LSOs tief im System des Nutzers.

Windows XP:

C:Dokumente und Einstellungen[Benutzer]Application DataMacromedia
Flash Player#SharedObjects[Zufallscode][Domain][Pfad][Name].sol

Linux:

/home/[User]/.macromedia/Flash_Player/
#SharedObjects/[Domain]/[Pfad]/[Name].sol

Das gemeine: Eine durchsichtige Flash-Animation kann ohne Wissen des Nutzers aufgerufen werden und Daten abspeichern, auch wenn Cookies deaktiviert sind. Die Webseite speichert dann eben alles in LSOs ab.

Es gibt zwei Möglichkeiten, dagegen anzugehen: Entweder man löscht die Dateien einfach immer wieder oder man deaktiviert die Erlaubnis global, LSOs abzuspeichern. Das geht nur auf der Macromedia-Seite. Hier auf Never stellen und die Erlaubnis wegnehmen, dass Flash Daten ablegen darf. Weitere globale Einstellungen finden sich unter den anderen Reitern.

Automatisiert kann man das ganze löschen mit dem Addon BetterPrivacy in Firefox.

Nur eine Frage der Zeit, bis die Benutzer auch diese Lücke schließen und die Webseitenbetreiber neue Methoden finden werden…