daily.out

2012-05-30 Eine Silberkugel gegen Driveby-Infektionen

Gemeinhin heißt es ja "there's no silver bullet". Es gibt keine Silberkugel, also keine Problemlösung (in der Software-Entwicklung) mit so extremer Effizienz, daß man sich Aufwand um Faktor 10 damit sparen könnte. Man nutzt die Silberkugel-Metapher, weil eine Silberkugel die einzig effiziente Art ist, einen Werwolf zu töten. Eine vergleichbare Methode findet man in der Software-Entwicklung leider nicht. Aber bei der Bekämpfung von Driveby-Infektionen, dort gibt es eine Silberkugel zur Problemlösung. Und darum geht der Artikel.

Driveby

Ich trauere den Zeiten nach, als Email noch Plaintext war, und man höchstens Dateien anhängen konnte. Irgendwer kam auf die Idee, HTML-Mails zu verschicken, damit man auch ja die Angriffsoberfläche vergrößert, so daß ein Bug in der HTML-Engine endlich auch per Email ausgenutzt werden konnte. Und damit Werbung noch besser nerven kann. Die interessantesten Emails, die ich bekomme, waren jedenfalls meistens schlicht Text.

Auch bei Webbrowsern hat man sich nur ganz am Anfang mit der ursprünglichen Funktion begnügt. Heute können die viel mehr als nur HTML. Anstatt einfach brav Text und Bilder formatiert darzustellen, führen Webbrowser auch Programme aus, was von vielen beschönigend aktive Inhalte genannt wird. Ich hingegen nenne es Sicherheitsprobleme deluxe, denn man besucht eine Webseite und man sieht erst, was man sich eingehandelt hat, wenn es zu spät ist, sprich läuft. Man führt alle Programme aus, die in der Webseite benutzt werden. Irgendwelche. Gerne auch Malware. Besonders dann, wenn die Webseite kompromittiert wurde. Und wenn das über einen Fehler in einem Content Management System passiert, sind es auch gerne tausende von Websites, die zur Malware-Schleuder werden.

Wenn nun eines der Programme auf der infizierten Seite Deines Vertrauens etwas Bösartiges auf Deinen Rechner speichert, ist das ein Driveby-Download, eine Infektion. Programme sind beispielsweise Java, Flash/ActionScript, ActiveX, JavaScript und weitere Addons/Plugins für die Webbrowser.

Silver Bullet

In einem Interview mit GIGA\\Mac (macnews.de) riet ich dazu, man solle Java im Browser möglichst ausschalten und Flash mit ClickToFlash nur bei Bedarf abspielen. In einem Artikel für Mac & i über Flashback war mein Ratschlag, das Risiko zu minimieren, indem man Java im Browser deaktiviert und andere aktive Inhalte wie Flash mit entsprechenden Safari-Extensions nur bei Bedarf mit einem Extra-Klick startet.

Ein Malware-Autor und Botnetz-Betreiber sieht das auch so:

Er empfiehlt als Profitip gegen Driveby-Infektionen in Webbrowsern: Addons im Browser deaktivieren und nur die aktivieren, die man benötigt. Man soll alle zusätzlichen Inhalte wie beispielsweise Flash, HTML5, PDF und Java ausschalten und bei Bedarf jeweils individuell per Klick in der Seite manuell starten. Dies mache einen immun gegen Driveby-Infektionen und zwar völlig unabhängig davon, ob man eine verwundbare Version von Java oder Flash und so weiter einsetzt oder nicht.

Klingt erstmal komisch, aber es stimmt, denn er führt weiter aus: Bösartige Inhalte sind immer versteckt, meistens in einem 0-Pixel iframe. Also unsichtbar. Man kann sie deshalb überhaupt gar nicht manuell aktivieren. Ihre einzige Chance, ausgeführt zu werden, ist, wenn der Benutzer die betreffende Sorte Plugin/Addon pauschal zuläßt. Man muß also dafür sorgen, daß aktive Inhalte nur durch eine Benutzeraktion gestartet werden können. Schadhaft Inhalte sind typischerweise versteckt und nicht manuell aktivierbar. Wäre die Malware auf der Webseite sichtbar, würde sie dem Betreiber der Seite schnell auffallen.

Folgende Safari Extensions nutze ich selbst und würde sie weiterempfehlen zur Riskio-Minimierung:

• ClickToPlugin oder ClickToFlash
• AdBlock
• Ghostery
• JavaScript Blocker

Als Firefox Add-Ons verwende ich und empfehle sie auch weiter:

• Flashblock
• Adblock Plus
• Ghostery (Firefox-Version)
• NoScript

---