Quelle: .heise.de/ct/
Für euch gefunden und für wichtig gehalten,
Fazit ist, schützt eure Rechner noch mehr wie bisher.
Die einzige Alternative für mich heißt, - Mozilla- oder – Linux -
Grüße von der Küste , Jürgen
:computer: :computer: :computer: :computer:
Professionelle Ganoven nutzen Browser-Schwächen
Angriffe auf Surfer nehmen zu und werden in letzter Zeit oftmals professionell ausgeführt. Immer mehr Sicherheitsexperten empfehlen den Umstieg auf Alternativen zum Internet Explorer, und Microsoft nimmt die Sicherheitsprobleme seines Web Browsers endlich ernst und reagiert.
Das Web ist längst kein friedlicher Ort mehr. Heimtückische Dialer, trojanische Pferde mit Hintertüren und Browser Hijacker haben Hochkonjunktur. Um zuzuschlagen, benötigen sie oft nur einen unvorsichtigen Mausklick des Anwenders.
Das Ausnutzen von Sicherheitslücken des Microsoft Internet Explorer hat in letzter Zeit drastisch zugenommen. Selbst auf Seiten, die auf den ersten Blick harmlos wirken, werden im Hintergrund Skripte aktiviert, die den Rechner des Anwenders quasi beschlagnahmen.
Der Artikel „Schädlingen auf der Spur“ auf heise Security (
www.heisec.de) führt exemplarisch vor, was passieren kann, wenn man mit dem Internet Explorer ohne aktuelle Patches ins Web geht. Auf der Suche nach „Yahoo Games“ gerät Tom Liston dabei im Selbstversuch auf eine scheinbar harmlose Webseite, die ohne sein Wissen diversen Unrat auf seinem PC installiert. Die dort analysierte Webseite existierte übrigens zum Redaktionsschluss immer noch.
Unter Beschuss
Bis vor kurzem wurden Sicherheitslücken in Browsern hauptsächlich von Sicherheitsspezialisten aufgedeckt, die primär an deren Beseitigung interessiert waren. Auf Mailinglisten wie Full Disclosure veröffentlichten Experten wie Guninski, Thor Larholm, http-equiv und Jelmer Hinweise auf Schwachstellen und auch Demonstrationen, wie sich diese ausnutzen lassen. Gelegentlich haben Nachahmer diese Demos modifiziert, um Seiten zusammenzubasteln, die Surfern tatsächlich Trojaner oder Ähnliches unterjubeln. Diesen Seiten war in der Regel deutlich anzusehen, dass deren Autoren über keine großen Kenntnisse der Materie verfügten, sondern nur plump abgekupfert hatten.
Doch mittlerweile hat die dunkle Seite die Initiative übernommen. Das letzte große IE-Loch wurde nur durch Zufall bekannt - nachdem es bereits ausgenutzt worden war (siehe Browsercheck: Laden und Ausführen beliebiger Dateien über IE-Hilfe). Mindestens eine Webseite schob über zwei bis dahin unbekannte Lücken Surfern mit dem Internet Explorer heimlich einen Brow-ser-Hijacker unter (siehe Seite 174, c't 17/04).
Der Sicherheitsexperte Jelmer erhielt einen Hinweis und wurde misstrauisch, als nach dem Besuch dieser Webseite auf einem System mit allen aktuellen Patches von Microsoft plötzlich Popups erschienen und die Homepage umgestellt war. Seine anschließende Analyse der Seite enthüllte, dass jemand mit sehr fundierten Kenntnissen mehrere damals unbekannte Sicherheitslücken des Internet Explorer ausnutzte, um Spyware ohne Mithilfe des Anwenders auf dem PC zu installieren.
Der verwendete Skriptcode war sogar verschlüsselt, um eine Entdeckung zu erschweren, und wurde erst zur Laufzeit ausgepackt. Jelmer, der selbst schon einige recht komplexe Fehler entdeckt und demonstriert hat, konnte nicht umhin, die technischen Fähigkeiten des Autors anzuerkennen - obwohl er sich von der Art, wie sie hier eingesetzt wurden, deutlich distanzierte. Einige Zeit später brachen Unbekannte in hunderte von Webservern ein und installierten dort ähnlichen Skriptcode, der die gleichen Lücken ausnutzte.
Diese Vorgänge fallen zusammen mit dem rapiden Anstieg von Spam, immer raffinierterem Identitätsklau im Internet durch Phishing-Mails (siehe Seite 178, c't 17/04) und dem seuchenartig zunehmenden Browser Hijacking (siehe Seite 174, c't 17/04). All diese Phänomene haben eines gemeinsam: Es geht längst nicht mehr nur darum, dass sich ein paar Jugendliche beweisen oder dem unbeliebten Monopolisten eins auswischen wollen. Es geht um Geld.
Die Urheber dieser Internet-Plagen haben offenbar ein funktionierendes Geschäftsmodell gefunden, das sich für sie rechnet. Viren-Autoren vermieten Armeen aus befallenen Rechnern an Spammer [1]. Die kassieren ihrerseits von Auftraggebern, die auf diesem Weg wohl tatsächlich ihre Potenzmittel, Pornos und sonstigen Schund an den Mann bringen. Wer den Browser von tausenden Surfern immer wieder auf irgendwelche dubiosen Seiten zwingt, stellt diese Seitenabrufe derselben Kundschaft in Rechnung.
Auf den Philippinen registrierte Dialer-Firmen treiben bei ihren Opfern hohe Geldbeträge für fragwürdige Leistungen ein. Und Phishing-Mails zielen nicht umsonst häufig darauf ab, ihren Opfern die Daten ihrer Bankverbindung oder Kreditkarten abzuluchsen.
In dieses Schema passen auch die Schutzgelderpressungen bei Online-Wettbüros, über die c't kürzlich berichtete [2]. All diese mehr oder weniger kriminellen Aktivitäten deuten ganz klar auf eines hin: Organisiertes Verbrechen macht sich im Internet breit. Rund um das Netz der Netze finden mafiöse Organisationen alles, was sie zum Gedeihen brauchen: skrupellose Experten, geldgierige Geschäftsleute, hilflose Opfer und hoffnungslos überforderte Strafverfolgungsbehörden.
Lohnende Ziele
Obwohl diese Entwicklung primär zu Lasten der Heimanwender geht, sollten auch bei Firmen die Alarmglocken schrillen. Auch Firmenangestellte nutzen an ihrem Arbeitsplatz ganz selbstverständlich das Web. Firmen-Firewalls und Antiviren-Software können Code, der Browser-Lücken ausnutzt, nicht zuverlässig entdecken und filtern - es sei denn, man verbietet das Scripting ganz.
Löcher in Browsern eignen sich damit auch hervorragend zur Industriespionage. Bei solchen Zielen braucht der Fallensteller gar keine große Zahl von Opfern. Eines genügt, wenn der Richtige in die Falle geht. Gelingt es einem Spion, einen Firmenangestellten auf seine Web-Seite zu locken, kann er ihm dort ein handgefertigtes trojanisches Pferd unterschieben, das ihm den Zugang zum Firmennetz öffnet. Wer befürchtet, dass jemand Geld dafür bezahlt, dass er Zugang zu Daten im Firmennetz bekommt, sollte sich ernsthaft Gedanken darüber machen, wie er den Internet-Zugang seiner Angestellten weiter absichern kann.
Alternativen
Angesichts der offensichtlichen Sicherheitsprobleme des Internet Explorer und der Tatsache, dass Microsoft diese zum Teil monatelang nicht in den Griff bekam, empfahlen immer mehr Sicherheitsexperten den Umstieg auf alternative Browser. Doch auf welch tönernen Füßen das häufig angeführte Argument steht, Browser wie Mozilla enthielten weniger Sicherheitslücken, demonstrierte eine der Publicity auf den Fuß folgende Welle von Veröffentlichungen mit mehreren kleineren und einem eklatanten Sicherheitsproblem. Über spezielle Shell-URIs konnte eine Web-Seite beliebige, bereits installierte Programme starten. Der URI
shell:*.mp3
aktivierte den MP3-Player des Systems. Da der Angreifer statt dem „*“ auch eine beliebig lange Zeichenkette an das Programm übergeben konnte, ließen sich auf diesem Weg auch eventuell vorhandene Pufferüberläufe ausnutzen, um beliebigen Code auszuführen.
Immerhin nutzte das Mozilla-Team die Chance, seine eigentliche Stärke zu demonstrieren. Anders als beim Internet Explorer, wo Anwender schon mal Monate auf Patches für noch ernstere Lücken warten mussten, stellten sie bereits am Tag nach der Veröffentlichung des Problems einen Patch bereit, mit dem sich Mozilla-Anwender schützen konnten. Auch bei den anderen Schwachstellen gab es spätestens nach einer Woche aktualisierte Versionen zum Download.
Microsoft bewegt sich
Derart von allen Seiten bedrängt, reagierte nun auch Microsoft: Der Software-Riese stopfte innerhalb weniger Wochen nicht nur die kleineren Löcher beispielsweise in der Hilfefunktion, über die sich Skripte höhere Rechte erschleichen konnten. Er verriegelte endlich auch zwei Einfallstore, die seit etwa einem Jahr immer wieder genutzt wurden, um Programme heimlich zu installieren und zu starten (ADODB.Stream und Shell.Application).
Beide galten bisher als Funktionen, die vor allem Web-Applikationen fürs Intranet regulär nutzen, und waren deshalb tabu. Doch unter dem steigenden öffentlichen Druck opferte Microsoft endlich die heilige Kuh der Kompatibilität der Sicherheit ihrer Kunden. Service Pack 2 für Windows XP bringt weitere Sicherheitsfunktionen, die teilweise ebenfalls zu Lasten von Kompatibiltät und Komfort gehen.
Mit den außer der Reihe bereitgestellten Sicherheits-Updates vom 31. Juli hat Microsoft den Internet Explorer tatsächlich so weit abgedichtet, dass zumindest keine kritischen Löcher mehr bekannt sind - also keine bekannten Schwachstellen mehr das Ausführen von Programmen durch externe Webseiten erlauben. Das ist das erste Mal seit etwa einem Jahr, dass die Redmonder diesen Zustand erreichen.
Großes Lob können sie dafür jedoch nicht erwarten, denn eigentlich sollte es eine Selbstverständlichkeit sein, dass man seine Kunden solchen Gefahren nicht länger als unvermeidbar aussetzt. Und die Beseitigung einiger kritischer Schwachstellen dauerte immerhin fast ein Jahr. Grund genug, die weitere Entwicklung zunächst mit Skepsis zu beobachten. Ob die vorbeugenden Maßnahmen ausreichen und Microsoft die jetzt eingeschlagene, konsequente Linie durchhält oder nach dieser Kraftanstrengung doch wieder in den gewohnten Trott zurückfällt, werden die nächsten Monate zeigen. Denn eins ist sicher: Die Gauner arbeiten längst an neuen Tricks, um Surfer in ihre Fallen zu locken. (ju)
Literatur
[1] Ferngesteuerte Spam-Armeen, Nachgewiesen: Virenschreiber lieferten Spam-Infrastruktur, c't 5/04, S. 18
[2] Patrick Brauch, Geld oder Netz!, Kriminelle erpressen Online-Wettbros mit DDos-Attacken, c't 14/04, S. 48
"Ausgetrickst im Netz"
Weitere Artikel zum Thema "Ausgetrickst im Netz" finden Sie in der c't 17/2004:
Surf-Gefahren S. 172
Internet Explorer säubern S. 174
Vorsicht vor Identitäts-Klau S. 178
[addsig]
Jagd auf Surfer
[addsig] 
[addsig] 
