Microsoft bewaart surfgedrag in verborgen bestanden

Internet Explorer houdt een geheim overzicht bij van alle webadressen die de gebruiker onlangs heeft bezocht. IE slaat de adressen op in spookbestanden, die niet via de browser, noch via Windows kunnen worden verwijderd.

Lezer Arjen van den Berg wees ons op het document Microsoft's Really Hidden Files:

Een anonieme hacker met het pseudoniem The Riddler maakt hierin melding van een onzichtbare systeemmap, waarin Microsoft het adres kopieert van iedere website die een internetgebruiker ooit heeft bezocht met Internet Explorer. De informatie is alleen toegankelijk via MS-Dos. Bovendien zouden ook alle e-mails die de gebruiker met Microsoft Outlook heeft verstuurd, in soortgelijke spookbestanden worden opgeslagen.

Netkwesties heeft alle beweringen uit dit document nagetrokken en kan maar één conclusie trekken: de belangrijkste claims zijn onweerlegbaar juist. Zowel in Windows 95, 98 als 2000 zijn de spookbestanden met het surfgedrag traceerbaar. Of ook Outlook-berichten ongemerkt worden bewaard, blijft echter onduidelijk. Netkwesties gebruikt namelijk een ander e-mailprogramma.

Locatie spookbestanden

In Windows 95 en 98 worden de webadressen opgeslagen in het bestand:

C:/Windows/Temporary Internet Files/Content.ie5/Index.dat

.
In Windows 2000 heet het bestand:

C:/Documents and Settings/GEBRUIKERSNAAM/Local Settings/Temporary Internet Files/Content.IE5/Index.dat

De index.dat kan vele megabytes groot zijn en is niet zichtbaar via de Windows-verkenner - ook niet als als de optie Verborgen mappen en bestanden weergeven is aangevinkt. Het spookbestand is wel met enige moeite toegankelijk via MS-DosS: ga eerst naar de betreffende map en geef dan het DOS-commando dir index.dat.

Index.dat laat zich moeilijk bekijken. Het bestand openen in Word levert een foutmelding op. Wat wel lukt is index.dat eerst naar een andere map te kopiëren, bijvoorbeeld copy index.dat c:\.

De kopie is dan wél toegankelijk via de Windows-verkenner. Wie dit bestand opent in Word ziet eerst veel onherkenbare codes; pas een paar schermpjes verder verschijnen een voor een alle webadressen.

Wat Microsoft doet met deze bestanden is onduidelijk. The Riddler constateert dat er ook andere gegevens in de index.dat voorkomt, bijvoorbeeld de naam van een tekstbestand dat hij onlangs heeft bewerkt. Op grond hiervan beschuldigt hij Microsoft ervan al zijn doen en laten op zijn computer te volgen. Harde bewijzen kan hij echter niet leveren.

Is het bestand index.dat de enige plaats waar webadressen ongemerkt worden opgeslagen? De Nederlandse student Ward van Wanrooij heeft het hulpprogramma Spider ontwikkeld om de rest van de harde schijf te scannen. Het kan de gevonden webadressen desgewenst ook verwijderen. Netkwesties heeft dat laatste niet uitgeprobeerd.

Verwijderen

De index.dat is moeilijk te vernietigen. Het verwijderen van de cache en de history via Internet Explorer is niet voldoende om dit spookbestand weg te krijgen, zo constateerden we meer dan eens. Via MS-Dos is het wel mogelijk, zoals beschreven staat in Microsoft's Really Hidden Files.

Ook op TechTutorials.com is hiervoor een stap-voor-stap-handleiding te vinden. Net als bij The Riddler stelt geen organisatie van enige naam zich verantwoordelijk voor de tekst. Netkwesties kan daarom niet instaan voor de betrouwbaarheid van de geboden adviezen.

Verder geeft het document van The Riddler de tip om speciale schoonmaakprogramma's te gebruiken, zoals Anonymizer WindowsWasher 4.0 en PurgeIE. Deze bieden meer soelaas. Beiden blijken voortvarend op te ruimen - Netkwesties had na afloop maar liefst 1 gigabyte extra vrije ruimte op de harde schijf - en na het herstarten van de computer bleek ook de index.dat netjes opgeschoond. Wie interesse heeft: beide programma's zijn niet gratis, maar men kan ze wel enige weken op proef gebruiken.

Niet de eerste

Hoe lang is dit al bekend?
The Riddler, die uitdrukkelijk anoniem wil blijven, schrijft Netkwesties per e-mail: 'Vorig jaar in juni ontdekte ik het bij toeval. Ik zag hoe het programma F-Prot een scan uitvoerde van alle bestanden op mijn computer en in de map Temporary Internet Files allerlei bestanden en mappen tegenkwam die ik niet kende. Ik werd erg nieuwsgierig. Van het een kwam het ander.'

Ward van Wanrooij en de anonieme auteur van TechTutorials schrijven op hun sites hoe ze de verborgen webadressen ontdekten. TechTurials deed de ontdekking toen de virusscanner verdacht lang in de map Temporary Internet Files bleef hangen. Toen de auteur argwaan kreeg, vond hij in die map een index.dat van maar liefst 600 megabyte groot.

The Riddler denkt echter dat de spookbestanden al langer bekend waren: 'Het feit dat PurgeIE en WindowsWasher ook dit bestand scannen wijst erop dat ik niet de eerste ben'.

[WZ]