Drive-by-Downloads – Angriff auf arglose Surfer und was dagegen getan werden kann
Die meisten PC-Anwender dürften schon etwas von Viren, Trojaner, Spyware oder ähnlichen Ausprägungen von Schadsoftware gehört oder gelesen haben. Zumeist muss man dazu selbst Software (aus oft zweifelhafter Quelle) auf dem Rechner installieren. Denn ein Virus oder Trojaner ist nichts anderes als ein Programm (meist in ein anderes eingebettet), dass durch aktives Zutun des Benutzers einmal in Gang gesetzt werden muss, um seine Schadwirkung entfalten zu können.
Bei neuere Formen von Schadsoftware, den sog. „Drive-by-Downloads" ist das nicht mehr nötig. Dabei handelt es sich um Schadcode, der unsichtbar in Webseiten eingebettet ist und durch Sicherheitslücken der gängigsten Browser unbemerkt auf den PC des Surfers gespült wird, während man im Internet surft. Einmal auf dem eigenen Rechner angekommen, wird die Schadsoftware meistens unbemerkt nach geldwerten Daten suchen (z.B. Zugänge und Passwörter für kostenpflichtige Internetdienste, Homebanking, Kreditkartendaten, e-Mail etc.), die sich vom Angreifer leicht weiterverkaufen lassen. Oder sie wird den PC zum fernsteuerbaren Rechner umfunktionieren, der zur Weiterverbreitung von Massenwerbemails (sog. SPAM) oder zur Zwischenlagerung illegaler Daten1 benutzt werden kann – während der ahnungslose Benutzer daran weiterarbeiten kann, ohne etwas zu bemerken.
Das Risiko kann durch das bewusste Meiden der „Schmuddelecken und Hinterhöfe" des Internets nicht wirklich reduziert werden. Denn auch Publikumswebseiten z.B. von Zeitschriften oder Fernsehsendern enthalten oft Werbebanner und aktive Elemente, die von Dritten eingespielt werden. Oder sie setzen ihre Webseiten aus zahlreichen Elementen zusammen, die von vielen Rechnern zusammengeholt werden (das macht der Browser automatisch) von denen auch einer gehackt und mit Schadsoftware bestückt werden kann.
Ein Drive-by-Download funktioniert vom Prinzip her wie ein Wurfanker. Einmal gut platziert, können zahlreiche Eindringlinge daran emporklettern und über Mauern hinweg ins Innere eines Hauses gelangen.
Doch was kann man dagegen tun? Zum einen lohnt es sich durchaus, die 30-50 € für die Jahreslizenz eines guten kommerziellen Virenscanners auszugeben. Denn diese Programme erkennen zahlreiche solcher Angriffe und können sie auch abwehren. Die oft funktionell sparsamer ausgestatteten kostenlosen Scanner können das oftmals (noch) nicht.
Aber auch Browser lassen sich sinnvoll ergänzen. So analysiert die kostenlose Erweiterung „Finjan Secure Browsing"2, erhältlich für Internet Explorer und Firefox, die Ergebnisse einer Suchmaschinensuche auf potentiell gefährlichen Seitencode und zeigt dies im Suchergebnis an. Die Analyse beruht auf den aktuellen Datenbankbewertungen von Finjan, einem Anbieter von Sicherheitssoftware.
Die Browsererweiterung „web of trust"3, verfügbar für Firefox, fügt ein zusätzliches Symbol in die Symbolleiste des Browsers ein. Ein Klick darauf öffnet ein Fenster, das anzeigt, wie andere Benutzer die aktuell angezeigte Website hinsichtlich Vertrauenswürdigkeit, Zuverlässigkeit des Anbieters, Datenschutz und Jugendschutz eingestuft haben.
Drive-by-Downloads basieren auf Skriptsprachen wie Javascript, Active-X etc. die es ermöglichen im Browser fremden Programmcode von Webseiten herunterzuladen und auf dem eigenen Rechner auszuführen. Viele Webseiten realisieren so anspruchsvollere und benutzerfreundlichere Funktionen. Wer auf Nummer Sicher gehen will und Firefox benutzt, kann mit der Erweiterung „NoScript"4 den Stecker ziehen. Sie blockiert die Ausführung zahlreicher Arten aktiver Inhalte im Browser. Bemerkt man auf einer regelmäßig genutzten und als sicher eingestuften Seite das Fehlen von Funktionen, kann man diese Seite ganz oder teilweise vom NoScript-Schutz ausnehmen. Das Programm realisiert dadurch das von Sicherheitsexperten empfohlene „Prinzip der schwarzen Liste" (alles ist erst mal verboten, nach Bedarf werden einzelne Aktionen vom Benutzer wieder erlaubt).
Ein weiteres nützliches Helferlein aus der Gruppe der Firefox-Erweiterungen ist „Ad Block Plus"5, ein Werkzeug das Werbebanner aus dem Internet-Datenstrom herausfiltert. Drive-by-Downloads, die über Werbebanner und damit verbundenen Skriptcode eindringen wollen, werden so effektiv daran gehindert. Als Nebeneffekt werden viele Webseiten dadurch schneller dargestellt und wirken übersichtlicher und leichter lesbar.
All diese Maßnahmen können die Gefahr von Ausspähung und Diebstahl eigener Daten zwar nicht völlig ausschließen. Sie helfen jedoch, das Risiko deutlich zu reduzieren. So wie das Schloss an der Tür und die Scheibe im Fenster.
Verfasst von Guido Strunck, Betreiber des Fachblogs http://itsicherheit.wordpress.com/, beruflich tätig als IT-Prüfer und Produktspezialist für Software.
Kontakt: http://www.guidostrunck.de/ oder per Mail: Guido.Strunck@gmx.net
Keine Kommentare vorhanden