Kapitel III: Netzratten feststellen und bekämpfen
Die gemeine Netzratte (lat. Rattus reticularis, engl. Spammer) ist eine weitverbreitete Spezies im Netz. Sie ernährt sich hauptsächlich von E-Mail-Adressen, verschmäht aber auch nicht Telefonnummern und postalische Anschriften von Netzbenutzern. An das Futter kommt sie im wesentlichen durch das Wühlen in Netzseiten oder durch den Aufkauf legaler oder illegaler Adreßbestände. Durch ihre zunehmende Verbreitung stellt dieser Schädling mittlerweile ein großes hygienisches Problem im Netz dar, dem mit einfachen Methoden nicht mehr beizukommen ist. Die Abhandlung behandelt das Vorkommen dieser Spezies und den hygienischen Schutz auf den eigenen Netzseiten gegen Netzratten.
Problemstellung
Netzratten sind ein weit verbreitetes Phänomen im Netz. Im Gegensatz zu ihren Verwandten, den Hausratten (lat. Rattus rattus) zeigen sie kaum soziales Verhalten und verunreinigen das Netz mit Müll. Intelligenz, Sprachempfinden und Takt sind unterentwickelt. Gleichwohl beherrschen sie schon die Arbeitsteilung, so daß unterschiedliche Spezialisierungen der Netzratten zu beobachten sind:
Man findet in freier Wildbahn die Formen der Adreßsammler, Adreßhändler und Müllspucker. Oft werden diese Aufgaben auch in Personalunion vorgenommen.
Die Vertreter der ersten Form, die Adreßsammler (engl. Spam Bots, Suchprogramme), bekommt man meist gar nicht mit: als lichtscheue Elemente durchwühlen sie heimlich, automatisiert und ohne Wissen der Betreiber deren Netzseiten nach E-Mail-Adressen. Die so gewonnenen Adreßbestände verkaufen sie dann an ihre Artgenossen.
Die Mitglieder der zweiten Form, die Adreßhändler (engl. Address Broker), nimmt man in der Regel auch nicht wahr. Entweder kaufen sie die Adressen von den Adreßsammlern oder sie bestechen Firmen-Mitarbeiter, um deren Kundendaten zu stehlen. Danach werden die Daten neu zusammengestellt und in großen Stückzahlen an die Müllspucker verkauft oder vermietet. Der ambitionierte Hobby-Rattenforscher entdeckt diese Rattenform nur mit Geduld und Liebe zum Detail an abgelegenen Netzorten in Adreßbörsen:
Benutzerdaten von 300.000 Spielern gefällig? Der Preis ist heiß: Ein Cent pro Mensch. Beeilen Sie sich, bevor sie ein anderer kauft. Der interessierte Hobby-Rattenforscher, der die über 80 Rechtschreibfehler in dem Ausschnitt findet, bekommt zusätzlich den Fundort der Rattenbörse mitgeteilt. Die Adressen der Adreßhändler (Ironie) wurden übrigens aus Tierschutzgründen geschwärzt.
Der Preis einer Adresse reicht übrigens von unter einem Cent für Ramschadressen bis in den Euro-Bereich für Investoren und Führungskräfte. Es gibt natürlich Rabatt. Wer sich fragt, was DOI bedeutet: Double Opt-In. So nennt sich das Verfahren, in dem ein Benutzer seine Einwilligung zum Erhalt von Werbung, Rundbriefen o.ä. gibt, indem er den Erhalt einer E-Mail des Anbieters bestätigt (durch Beantwortung oder Anklicken einer darin enthaltenen Verknüpfung). Vorteil für die Netzratten: die E-Mail-Adresse wird sogleich auf Korrektheit überprüft, was den Verkaufswert der Adresse erhöht („bestätigte Kontakte“). Bei den anderen Verfahren, (engl. Single oder Confirmed Opt-In) besteht die Gefahr, daß Dritte beliebige E-Mail-Adressen anmelden.
Die letzte und dritte Form der Netzratten, die Müllspucker (engl. Spammer), ist im Gegensatz zu den beiden verstohlenen Formen nicht zu übersehen: ausgestattet mit einem Fundus zweifelhafter Adressen verunreinigen sie die Postfächer der Menschen ad nauseam mit Postmüll. Wohl schon jeder, der sich eine neue Netzdomäne oder E-Mail-Adresse zugelegt hatte, hat sich über diese Tiere geärgert:
Sichern Sie sich alle Vorteile !
Geben Sie sich nicht mit weniger zufrieden!
Daneben existiert eine Unterform der Müllspucker, die Foren und Gästebücher im Netz maschinell mit Werbung für bestimmte Netzseiten zumüllen. Grund: Tauchen die so beworbenen Netzseiten in vielen Foren auf, werten die meisten Suchmaschinen dies als Indiz für deren Beliebtheit und lassen diese häufiger in den Suchergebnissen erscheinen.
Ein Beispiel einer Müllpost (Anonymisierung und Hervorhebungen durch den Autor):
INDUSTRY TRACKS
A monthly newsletter exclusively for executives in mid-sized business
January 2002
Brought to you by
XXX
Software and services that enable the integration of key financial and
operations processes across mid-sized organizations
----------------
As an executive in mid-sized business, we thought the following
information might be of interest to you. If we have sent you this notice
in error, please accept our apologies and unsubscribe at the end of this
newsletter.
Man beachte, daß wahrgenommen wird, daß man vielleicht „versehentlich“ angeschrieben wurde. Man kann sich ja auch wieder austragen – zumindestens wird es versprochen (s. Fußnote der Müllpost). Jetzt werden aber erst mal die einzigartigen Angebote des Müllspuckers (oder seines Auftraggebers) angepriesen:
----------------
December Feature Focus: Project Management for Mid-market Executives
* Adapting to Your Success
* Financials and Project Accounting Integration Yields Higher Profit
* XXX's Good to Great Book Offer
* Streamlining a Top 10 University's Project Management Processes
* The Mid-sized Business Guide to Project Accounting
To find out if you qualify for this exciting offer, click on the link
below:
< http://www.xxx.com/register.asp?pffid=irirr > Good to Great Offer
Nach unzähligen Seiten aufregender Angebote kommt die angekündigte Fußnote:
---------------------------------------------------------------------
* To remove yourself from this mailing list, point your browser to:
http://i.pm0.net/remove?whunter:22
* Enter your Mail address (vwrotin@meinedomaene.com) in the field
provided and click “Unsubscribe”. The mailing list ID is “whunter:22”.
OR …
* Forward a copy of this message to whunter.22@reply.pm0.net
with the word remove in the subject line.
<mailto:whunter.22@reply.pm0.net?subject=remove>
This message was sent to address vwrotin@meinedomaene.com
X-PMG-Recipient: vwrotin@meinedomaene.com
---------------------------------------------------------------------
Natürlich ist die Fußnote der Müllpost nicht ernst gemeint: Wenn man sich austrägt, wird man nämlich erst eingetragen. Die im E-Marketing „Opt-Out-Mail“ genannte Müllpost, mit der man sich vermeintlich auch austragen kann, dient nur zum Opt-In, denn durch eine Beantwortung registrieren die Müllspucker, daß die E-Mailadresse aktiv ist und fangen erst richtig an, Müllpost zu senden. Außerdem wird meist die Adresse weiterverkauft. Man beachte allein die für Müllspucker typisch kryptischen, nichtssagenden Absender-Domänen:
reply.pm0.net
i.pm0.net
Solche anonymen Server dienen Netzratten als Versteck. Ihre Absender-Adressen sind falsch oder existieren nur kurze Zeit, um sich vor der Rache der Opfer zu schützen.
Hygienischer Schutz vor Netzratten
Offensichtlich ratsam ist es, keine eigene E-Mail-Adresse an unbekannte Dritte weiterzugeben, will man diese Adresse länger nutzen. Muß oder will man doch auf diesem Wege Post erhalten, sollten Adressen verwendet werden, die man kurzfristig wieder wechseln kann. Wie schützt man aber solche Adressen, seien es eigene oder die von Besuchern, auf den eigenen Netzseiten vor dem Zugriff durch Adreßsammler?
Hierzu gibt es mehrere Methoden – passive und aktive. Diese Netzseite verwendet beide Formen. Mit den passiven Methoden versucht man, Mailadressen auf den eigenen Netzseiten so zu kodieren, daß Adreßsammler sie nicht als solche erkennen. Bei den aktiven Methoden versucht man, die Adreßsammler mit falschen Mail-Adressen in die Irre zu führen oder sie mit speziellen Fallen zum Straucheln zu bringen. Wer viel Ausdauer hat, kann sich auch beim Netzanbieter des Adreßsammlers beschweren oder den Adreßsammler verklagen (nach der Jurisdiktion in einigen Ländern möglich – wenn man ihn dingfest macht).
Netzratten aus dem Formenkreis der Adreßsammler suchen vorwiegend nach dem Schlüsselwort mailto: im HTML-Quelltext der Netzseiten und nach Adressen der Form name@domaene.com. Diesen Umstand machen sich die folgenden vier passiven Methoden zunutze:
Lösung 1: HTML-Entitäten
Man benutzt Unicode (entspricht ANSI für die ersten 256 Bytes und somit ASCII für die ersten 128 Bytes), um bestimmte Marker wie das Symbol @ etc. auszublenden und die maschinelle Erkennung von Mailadressen zu erschweren. Der Benutzer bemerkt von der Kodierung nichts: er sieht die normale Adresse, da der Browser die Entitäten dekodiert. Verwendet man diese Kodierung, wird aus dem Quelltext
mailto:webmaster@whitehouse.govso ein
mailto:webmaster@whitehouse.gov| Vorteil | Einfach zu bewerkstelligen. |
|---|---|
| Nachteil | Für die meisten Müllwerber heutzutage leider kein Problem mehr. |
Lösung 2: JavaScript
Man bricht die Adresse im Quelltext auseinander, um sie dynamisch beim Benutzer durch JavaScript wieder zusammenzusetzen. Adreßsammler führen kein JavaScript aus, das wäre zu zeitraubend. Aus
mailto:webmaster@whitehouse.govwird so ein
document.write('mai'+'lto'+':'+'web'+'master'+'@'+'whitehouse.'+'gov');| Vorteil | Mäßig sicher, vor allem bei komplexen Code. |
|---|---|
| Nachteil | Manche Benutzer haben JavaScript nicht an. |
Lösung 3: Bild
Man zeigt die Mailadresse als Grafik an. Adreßsammler verwenden meist keine OCR-Technik, da diese zu zeitaufwendig ist.
| Vorteil | Ziemlich sicher, wenn der Text der Grafik verrauscht ist. |
|---|---|
| Nachteil | Blinde und Benutzer mit textbasierten Browsern sehen Adresse nicht und automat. Start des Mailprogramms via mailto: funktioniert nicht mehr. |
Lösung 4: Nur durch Menschen dekodierbare Adressen
Man schreibt die Adresse als Text, versetzt sie aber mit Einfügungen (häufig in den Newsgroups benutzt). Nachfolgend fordert man den Benutzer auf, die Einfügungen wieder zu entfernen. Aus
mailto:webmaster@whitehouse.govwird so ein
mailto:webmaster[at]whitehouse.govoder
mailto:webmasterNOSPAM@whitehouse.gov| Vorteil | Ziemlich sicher bei Nutzung seltener Einfügungen. |
|---|---|
| Nachteil | Automat. Start des Mailprogramms via mailto: funktioniert nicht mehr. |
Lösung 5: Mail-CGIs
Man verwendet statt mailto: für die eigene Adresse ein formularbasiertes Mail-CGI. Maschinelle Adreßsammler können so keine Adresse gewinnen. Die Erkennbarkeit solch eines Formulares durch maschinelle Müllspucker ist gering, falls man nicht gerade Aufrufe der Art /cgi-bin/mail.pl?subject=Neue%20Mail! verwendet hat. Zusätzlich kann man in das CGI heuristische Werbemüll-Filter einbauen.
| Vorteil | Ziemlich sicher und funktioniert sogar bei Benutzern ohne Mailprogramm. |
|---|---|
| Nachteil | Prinzipiell können Netzratten auch CGI-Aufrufe verfolgen. Sofern der Serverbetreiber nicht schon entsprechende CGIs z.V. stellt, sind Rechte zur Installation erforderlich; diese haben kleinere Netzpräsenzen jedoch oft nicht. |
Lösung 6: Aktiver Schutz
Als ein Beispiel für aktiven Schutz sei die Methode der „Teergrube“ genannt. Der Verweis [Vorsicht: auch manche Browser können beim Anzeigen der folgenden Datei abstürzen!] [mailto.htm] führt auf eine Datei mit mailto:-Einträgen eingebettet in binärem Müll. Ist der Adreßsammler nicht sauber programmiert, kann er infolge eines Pufferüberlaufes abstürzen oder sich in Endlos-Schleifen verfangen.
Wie aber nun die guten Bots (z.B. Suchmaschinen) von den bösen (z.B. Adreßsammler) trennen? Ein Ansatz, der meist funktioniert, ist der folgende: Adreßsammler halten sich fast nie an die Einträge der Datei robots.txt. Über einen entsprechenden Eintrag, der den Zugriff auf die „gefährlichen“ Verweise verbietet, werden die „bösen“ Bots also nicht abgeschreckt, wohl aber die „guten“.
Ein praktisches Beispiel
Als Beispiel zum Schutz der eigenen Mail-Adresse auf einer Netzseite sei ein Mix aus Lösung 1 bis 4 vorgestellt:
JavaScript-Surfer sehen ganz normal die korrekte Mail-Adresse. Beim Klicken darauf öffnet sich ihr Mail-Programm (sofern sie es richtig konfiguriert haben). HTML-intern ist die Adresse auseinandergebrochen [2] und zusätzlich codiert [1].
Nicht-JavaScript-Benutzer sehen die korrekte Adresse als Bild [3]. Ihr Mail-Programm müssen sie allerdings händisch starten und die Adresse ebf. händisch eintippen.
Nicht-JavaScript-Benutzer, die auch das automatische Bildladen im Browser ausgeschaltet haben, sehen eine verhackstückte [4] Adresse (im alt-Attribut des img-Tags) und die Aufforderung, bestimmte Zeichen dieser Adresse (eben diese Hackstücke) entweder wegzulassen oder durch andere Zeichen zu ersetzen. Ihr Mail-Programm müssen sie ebf. händisch starten und die dekodierte Adresse händisch eintippen.
<p>Für Kommentare zu unserer Netzpräsenz nutzen Sie bitte
das <a href="/gaestebuch.html">Gästebuch</a>.
Haben Sie Fragen, freuen wir uns über eine E-Mail an:</p>
<script type="text/javascript">
<!--
m = 'ma'+'il';
mu = m.concat('@asd'+'ala.de');
mto = m.concat('to'+':');
document.write('<add'+'ress>'+mu.link(mto+mu+'?subj'+
'ect=Kommentar zu asd'+'ala.de')+'<\/add'+'ress>');
//-->
</script>
<noscript>
<p><img src="/img/post.gif"
alt="ma#i#l$asd#116;ala.de - Ersetzen Sie das
Zeichen '$' mit '@' und löschen Sie alle Zeichen '#'."></p>
</noscript>
<p>Hinweis: Wundern Sie sich nicht, falls Sie kryptische Zeichen in der Adresse
finden. Sie ist kodiert, um unerwünschte Werbung zu verhindern - Roboter können
sie so nicht lesen. Interessiert, <a href=anti-spam.html>wie</a> das geht?</p>Fazit
Netzratten stellen ein zunehmendes hygienisches Problem des Netzes dar. Da sie das Licht scheuen und keine Spuren hinterlassen, sind sie schwer aufzuspüren und auszurotten. Daher muß aus hygienischer Perspektive der Grundsatz gelten, alle möglichen Futterquellen auf den eigenen Netzseiten entweder zu entfernen oder unerreichbar zu gestalten. Zusätzliche Fallen sollten aufgestellt werden. Die in der Abhandlung vorgestellten Methoden bieten einen ersten Schutz gegen Netzratten. Weiterführende Informationen zum passiven und aktiven Schutz gegen Netzratten finden sich z.B. bei Greg Sabino Mullane [1].
Quellen
- Greg Sabino Mullane: Spambot Beware