Privacymodus IE8 laat sporen achter
Gepubliceerd: Vrijdag 29 augustus 2008
Auteur: Brenno de Winter
De 'pornoknop' van Internet Explorer 8 verbergt het surfgedrag slechts oppervlakkig. Forensisch onderzoekers kunnen informatie eenvoudig terug halen.
Dat blijkt uit onderzoek dat Webwereld in samenwerking met beveiligingsbedrijf Fox-IT heeft uitgevoerd. De conclusie voor de onderzoekers is helder: InPrivate Browsing is vooral een cosmetische functie.
Gedeeltelijk anoniem
In de veilige modus bewaart het systeem geen cookies, waardoor bijvoorbeeld logingegevens, bestellingen bij websites of andere mogelijke gevoelige gegevens niet beschikbaar zijn. Ook slaat de browser in veilige modus de bezochte websites niet in het Windows-register op. Daarmee lijkt het ogenschijnlijk onmogelijk te achterhalen welke sites bezocht zijn.
Omdat de zogenaamde InPrivate Browsing technologie de bezochte websites verbergt voor bijvoorbeeld echtenoten of bazen, is de technologie al snel omgedoopt tot 'pornoknop'.
Wie de technologie nader onderzoekt, krijgt een heel ander beeld te zien. Zo heeft Internet Explorer 8 ook een geschiedenis-bestand en dat wordt gevuld met algemene informatie. Hoewel daar geen URL's worden opgeslagen, is dat onvoldoende. "Aan de resterende records kan ik nog steeds afleiden welke websites zijn bezocht", zegt Christian Prickaerts, forensisch IT-expert bij Fox-IT.
Alles terug te halen
Maar misschien is het grootste hulpmiddel voor onderzoekers wel dat tijdelijke internetbestanden in de cache gewoon opgeslagen worden op de schijf, zelfs al staat InPrivate Browsing ingeschakeld. Hierdoor is de inhoud van de geladen websites alsnog terug te halen met herstelprogramma's zelfs al werden de bestanden verwijderd.
Datzelfde geldt voor mensen die besluiten de geschiedenis in de browser te verwijderen. De actie doet namelijk niet meer dan het verwijderen van het geschiedenisbestand en de tijdelijke internetbestanden zonder de schijf te overschrijven. Ook hier kan bij forensisch onderzoek nog veel naar boven worden gehaald.
Overigens blijkt een vergelijkbare verwijder-functionaliteit in Firefox versie 2 en 3 ook sporen achter te laten. Speciale plugins helpen gebruikers daar om gegevens permanent te verwijderen.
Vooral cosmetisch
Voor Prickaerts is de conclusie eenduidig: "De privacy-functie in deze beta dus vooral cosmetisch. Voor een forensisch onderzoeker is het peanuts de browsing geschiedenis in kaart te brengen."
Microsoft zegt in een reactie dat de functionaliteit van InPrivate Browsing vooral bedoeld is om de historie voor andere gebruikers weg te halen. Het bedrijf voorziet vooral een rol in internetcafe's en bij mensen thuis. Het resistent zijn tegen forensisch onderzoekers valt daar niet onder.
