Achtung vor Werbebannern

NACHTRAG

...siehe auch dazu aktuellen Bericht via spiegel online / Netzwelt

www.spiegel.de/netzwelt/web/viren-werbung-auf-internetseiten-a-892841.html

Meine Freundin fing sich über Ostern beim Suchen nach einer Grafik für ihre Lehrprobe eine Form des BKA Trojaners ein. Ganz nebenbei beim Surfen - und plötzlich war er da. Ursache: Windows (7), Internet Explorer, aktiviertes Java, keine ZoneAlarm Firewall, keinen Spybot, nicht immunisierte Browser, lediglich den AntiVir.

Ich habe dann über den abgesicherten Modus eine Systemrücksetzung gestartet, ZoneAlarm und Spybot installiert, alle Browser immunisiert (via Spybot), Java deaktiviert, den Internet Explorer von Ihrem Desktop gelöscht und ihr den Chrome schmackhaft gemacht.

Meine Empfehlung: achtet auch auf die PCs in eurer Umgebung (Familie, Freunde, Bekannte, Kollegen). Der Grund dafür, dass sich Viren so schnell einschleichen können, sind ungeschützte PCs.

Ich plädiere für die Einführung eines PC Führerscheins, der wichtige Sicherheitsmechanismen behandelt und bei jedem PC- und Betriebssystem-Kauf vorgelegt werden muss. So wird das Entwickeln und Verbreiten von Viren ganz schnell weniger lukrativ.

Matthias

Hallo Klaus,

Danke für Deinen Beitrag,

klaus_b schrieb:

Windows 7 und der IE sind per se kein Einfallstor für Viren. Zumindest nicht mehr als die "hippen" Browser.

Das kann ich so (insb. in Bezug auf den Internet Explorer) nicht unterschreiben, siehe Alternativen zum Internet Explorer - so surfen Sie sicher, erschienen am 18. Februar 2013 im Stern.

Ebenfalls (schon etwas älter): Welcher Browser ist der sicherste (CHIP)

klaus_b schrieb:

Zonealarm?! Ich bitte dich. Das ist nur ein weiteres Stück Software, das auch nur im "Bitte-Bitte" Modus läuft. Eine echter Schutz ist das bei weitem nicht. Es spiegelt dem Benutzer, durch seine blinkenden Symbole, nur falsche Sicherheit vor. Da es auch nur ein Programm ist, kann es genauso manipuliert werden wie jedes andere auch.

Beim BKA Trojaner (darum ging es in meinem Beitrag) hätte ZoneAlarm durch eine simple Frage "Darf Programm xyz sich auf Ihrem PC installieren" einen ausreichenden Schutz geboten. Darum geht es hier: um den Durchschnittsanwender. Wenn der Benutzer bei tiefgreifenden Systemeingriffen gefragt wird, ist das schon die halbe Miete. Bei "besser programmierten" Viren hast Du recht, diese nutzen ganz andere Lücken - kommen dafür aber auch nicht so häufig vor.

klaus_b schrieb:

Statt dessen solltest du dich mit der Windows eigenen Firewall beschäftigen. Dieses, meist unterschätzte und oft missverstandene, Werkzeug leistet mehr als jede Personal Firewall. Sie verarbeitet direkt den IP-Stack von Windows und ist somit effektiver als jedes Programm das erst darüber ansetzt.

Ich selbst nutze Linux und richte die Firewall per Hand über die iptables ein. Mir ging es darum, dass ein Durschnittsanwender (!) mit dem Programm zurecht kommen muss! Das bedeutet: so viel wie möglich automatisch. Bring Du Deiner Freundin mal bei, wie sie eine Windows Firewall konfigurieren soll.

klaus_b schrieb:

Sorry, wenn meine Reaktion etwas hart klingt. Aber mir geht dieses Windows und IE gebashe langsam echt auf den Zeiger. Vor allem, da es meist vollkommen unberechtigt ist.

Das liegt immer am Administrator. Es gibt gute Windows-Administratoren und gute Linux-Administratoren. Ebenso gibt es schlechte. Der Vorteil an Linux ist: es ist quelloffen und in jedweder Hinsicht frei konfigurierbar. Dies ist bei Windows anders - Windows wird ein Administrator niemals so kennen können wie ein Linux-System - es sei denn, er arbeitet bei Microsoft. (sollte kein Bashing sein - Geschmäcker/Vorlieben sind verschieden).

Matthias

klaus_b@.NET über alles was an .NET und C# Spass macht.

Edit: Sorry, versehentlich editiert statt neu gepostet. Hoffe, es ist nichts untergegangen, falls doch: bitte Beitrag nochmal editieren. Falls noch jmd. das Original hat - bspw. über einen RSS Feed Reader - bitte mir per PN zuschicken.

Matthias

Hallo Matthias,

seitenreport schrieb:

Edit: Sorry, versehentlich editiert statt neu gepostet. Hoffe, es ist nichts untergegangen, ...

Soweit ich sehe, ist noch alles vorhanden. Lediglich das Zitieren ist etwas umständlich. Ich versuch es mal:

seitenreport schrieb:
Das kann ich so (insb. in Bezug auf den Internet Explorer) nicht unterschreiben, siehe ...

Die Behauptungen man müsse die Sicherheitseinstellung für den Bereich Internet ändern ist schlichtweg falsch. Schon bei der Einstellung Mittelhoch, werden Active-X Komponenten per Default deaktiviert und erst durch Zutun des Benutzers aktiviert. Da geschieht mittels des kleinen blauen Verbotszeichens neben der Adresszeile. Dort kann einzeln Akctive-X und Tracking de/aktiviert werden.
Das geht schon ab IE9. Aktuell ab Win7 ist der IE10.
Der Artikel in Chip ist kaum besser. Die Verwendung des internen DNT (Do-Not-Track) wird einfach durch abonnieren einer Liste erledigt. Dabei kann die selbe Liste verwendet werden, die auch von AdBlockPlus verwendet wird. Wenigstens stellt der Artikel die Active-X Filterung richtig dar.

seitenreport schrieb:
... hätte ZoneAlarm durch eine simple Frage "Darf Programm xyz sich auf Ihrem PC installieren" einen ausreichenden Schutz geboten.

Das erledigt die UAC von ganz allein. Wenn sie allerdings durch den Benutzer ausgehebelt wird, ist das nicht die Schuld des Systems.
Denkwürdig ist hier die Vorgehensweise mancher "Spezialisten": Die UAC ausschalten und eine Personal Firewall installieren #facepalm

seitenreport schrieb:
... Bring Du Deiner Freundin mal bei, wie sie eine Windows Firewall konfigurieren soll

Dafür hat sie ja mich
Nein, ernsthaft. Die Windows Firewall arbeitet nach dem gleichen Grundsatz wie alle Regel basierenden Firewalls: "Es ist alles verboten, was nicht explizit erlaubt ist". Erst was ausdrücklich erlaubt wird, wird auch zugelassen.
Außer sie wird vom Benutzer deaktiviert.
BTW. Die Windows Firewall wurde, im Standardmodus, für Durchschnittsanwender gestaltet.

Vom Vergleich von Systemen untereinander halte ich gar nichts.
Jeder wählt das System, das im am besten zusagt. Wer Bequemlichkeit liebt wählt Windows. Enthusiasten, Individualisten und "Bastler" wählen Linux. Die "Anderen" OS X
Jedes System hat seine Stärken und Schwächen, keines ist perfekt. Wichtig ist nur, die Schwächen zu kennen und in der Lage zu sein auf Bedrohungen reagieren zu können. Wer es nicht selbst kann, muss eben dafür bezahlen; auf die eine oder andere Weiße.

Servus,
Klaus

klaus_b@.NET über alles was an .NET und C# Spass macht.

Hallo Klaus,

klaus_b schrieb:

seitenreport schrieb:
... hätte ZoneAlarm durch eine simple Frage "Darf Programm xyz sich auf Ihrem PC installieren" einen ausreichenden Schutz geboten.

Das erledigt die UAC von ganz allein. Wenn sie allerdings durch den Benutzer ausgehebelt wird, ist das nicht die Schuld des Systems.
Denkwürdig ist hier die Vorgehensweise mancher "Spezialisten": Die UAC ausschalten und eine Personal Firewall installieren #facepalm

Nein. Die UAC war nicht deaktiviert und wurde auch nicht deaktiviert. Dennoch schlich sich der BKA Trojaner Drive-By beim Surfen über eine Java-Lücke ein. Im Vergleich zu anderen Browsern ist die Sandbox des Internet Explorers unausgereift. Zitat Wikipedia zu Java-Applets:

Ein Sicherheitsrisiko durch „böswillige“ Applets besteht nur, wenn die Sandbox fehlerhaft ist.

.
WENN die Sandbox nicht greift, sollte auf tieferer Ebene bspw. die Windows Firewall greifen. Das tut sie beim BKA Trojaner nicht (andernfalls wäre die Aufregung nicht so groß, es würden sich nicht so viele Windows Nutzer infizieren und das BSI müsste keine Warnung wegen infizierten Werbebannern herausgeben).

Die Windows Firewall ist in diesem Fall (und ähnlichen) in ihrer Standard-Konfiguration absolut unbrauchbar - kein Wunder, kann sie doch nur auf eine kurze Entwicklungszeit zurückblicken. Meines Wissens gibt es erst seit Windows 7 eine einigermaßen (!) brauchbare Firewall (z.B. im Vergleich zu den IPTables der UNIX-Systeme).

ZoneAlarm hingegen erkennt den BKA Trojaner (und andere) trotz Java-Lücke bereits beim Einnisten und fragt nach.

Ich traue Dir durchaus zu, dass Du selbst eine Windows Firewall einigermaßen sicher konfigurieren kannst. Einfacher - und vor allem für den Normalanwender reproduzierbar (!) geht es mit ZoneAlarm.

Matthias

Hallo Matthias,

seitenreport schrieb:

Nein. Die UAC war nicht deaktiviert und wurde auch nicht deaktiviert.

Dann ist das genannte Konto ein Administrator Konto und nicht, wie empfohlen, ein eingeschränkter Benutzer.

seitenreport schrieb:

Dennoch schlich sich der BKA Trojaner Drive-By beim Surfen über eine Java-Lücke ein. Im Vergleich zu anderen Browsern ist die Sandbox des Internet Explorers unausgereift. Zitat Wikipedia zu Java-Applets:

Ein Sicherheitsrisiko durch „böswillige“ Applets besteht nur, wenn die Sandbox fehlerhaft ist.

Diese Aussage muss ich im Moment einfach so stehen lassen, da mir das nötige Wissen über die Implementierung der Sandbox im IE ohne installierte VM fehlt. Ich werde das Thema aber nicht aus den Augen verlieren.

seitenreport schrieb:
WENN die Sandbox nicht greift, sollte auf tieferer Ebene bspw. die Windows Firewall greifen. Das tut sie beim BKA Trojaner nicht (andernfalls wäre die Aufregung nicht so groß, es würden sich nicht so viele Windows Nutzer infizieren und das BSI müsste keine Warnung wegen infizierten Werbebannern herausgeben).

Was hat eine Firewall mit der Installationsüberwachung zu tun?
Eine Firewall ist, per Definition, ein Regelwerk zur Überwachung des Netzwerkverkehrs. Je nach Ausstattung evtl. noch mit zusätzlichen Schutzeinrichtungen wie etwa IPS/IDS (Intrusion Prevention/Detection System).
Alle anderen Aufgaben sollten von dedizierten Programmen erledigt werden.
Ich persönlich zähle lokal installierte Programme (Windows und Personal Firewall) nicht zu den echten Firewalls. Auch NAT-Routing gehört nur begrenzt dazu. Alles außer einer dedizierten Appliance (Gateway/Edge Router) spiegelt nur eine falsche Sicherheit vor. Aber das sind nur my2cents.

seitenreport schrieb:
Die Windows Firewall ist in diesem Fall (und ähnlichen) in ihrer Standard-Konfiguration absolut unbrauchbar - kein Wunder, kann sie doch nur auf eine kurze Entwicklungszeit zurückblicken. Meines Wissens gibt es erst seit Windows 7 eine einigermaßen (!) brauchbare Firewall (z.B. im Vergleich zu den IPTables der UNIX-Systeme).

Wie schon oben erwähnt: Das ist nicht die Aufgabe einer Firewall.

seitenreport schrieb:
ZoneAlarm hingegen erkennt den BKA Trojaner (und andere) trotz Java-Lücke bereits beim Einnisten und fragt nach.

Damit Zonealarm diese Aufgabe erledigen kann, muss im lokalen System sowohl die IP-Firewall als auch die DEP (Data Execution Prevention) ausgeschalten werden.

seitenreport schrieb:
Ich traue Dir durchaus zu, dass Du selbst eine Windows Firewall einigermaßen sicher konfigurieren kannst.

Ich verwende eine "echte" Firewall (siehe Anhang)

klaus_b@.NET über alles was an .NET und C# Spass macht.

Hallo Klaus,

Ich stimme Dir in vielen Punkten zu. Bis auf einen: Windows ist meiner Meinung nach ein Endanwender Produkt, das sich Einfachheit auf die Fahnen geschrieben hat. Diese Selbstidentität sollte m.E. dann auch im Bereich Security umgesetzt werden - aber eben so, dass dennoch (!) nichts durch kommt.

Zwar ist eine Firewall von ihrer Definition her nicht gleichzeitig auch eine Installationsüberwachung, dennoch integrieren viele Firewall-Anbieter für Windows diese Funktion erfolgreich - eine m.E. sehr sinnvolle Funktion.

gulli.com schreibt:

Das BSI warnt vor groß angelegtem Malware-Angriff durch manipulierte Werbebanner auf Internetseiten. Betroffen sind Computer mit Microsofts Betriebssystem Windows, andere Geräte bleiben von den Angriffen verschont

Nun aber genug mit dem Windows-Bashing. Bietet eben eine breite Angriffsfläche. Ich habe es früher auch jahrelang (zufrieden!) genutzt.

Danke für die spannende Diskussion und einen schönen Rest-Sonntag!

Beste Grüße,
Matthias