|
Diskussionsforum: Bestmöglicher Schutz vor drive-by-InfektionenWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
25.05.2012, 01:13 | #1 |
/// TB-Ausbilder | Bestmöglicher Schutz vor drive-by-Infektionen Hallo liebe Experten Wenn man bewusst undurchsichtige Mailanhänge öffnet oder (evtl. dubiose) Programme ausführt, ist das eine Sache, aber wenn man sich nur schon beim Aufrufen einer Website (insbesondere bei einer als "seriös" eingestuften wie kürzlich wetter.com) ohne eigenes Zutun per drive-by Download infiziert, finde ich das schon noch eine Spur heimtückischer und so habe ich mich gefragt, wie man sich bestmöglichst dagegen wehren kann und wollte euch dazu fragen. Kann man eine einfache Checkliste erstellen, mit deren Hilfe man sich so gut wie möglich vor drive-by-Infektionen schützt? Zum Beispiel: 1) kein Konto mit Administratorenrechten beim Surfen 2) Windows, Browser, Java, Flash, pdf, Plugins, AV aktuell halten 3) Firefox mit Addons AdblockPlus und NoScript verwenden und nur Skripts von unmittelbar benötigten (und bekannten) Domains erlauben. Sorgsam mit dauerhaften Positivlisten umgehen. 4) Browser in einer Sandbox ausführen Wie würde so eine komplette Liste aussehen? Wieviel Restrisiko würde dennoch bleiben und wie sähe dieses aus? Wie ist das, wenn auf unbescholtenen Websites von dritter Seite bösartige iframes eingebaut werden? Wäre man konkret im wetter.com Beispiel durch das NoScript Addon auch dann geschützt gewesen, wenn man Skripts von wetter.com selbst (der korrekten Darstellung und Funktionsweise wegen) zugelassen, aber alle anderen Domains geblockt hätte, die Skripts auf der Seite ausführen wollten? Weiter bin ich mir bewusst, dass wohl eine grosse Mehrheit solcher Infektionen von zwielichtigen bis illegalen Quellen wie Sport- und Serienstreams oder Erwachsenenunterhaltung stammen. Natürlich sind solche User in einem gewissen moralischen Sinne "selbst Schuld", wenn sie sich auf einer dubiosen semilegalen Streamingseite infizieren und es geht mir auch überhaupt nicht um den sorgenfreien Konsum solcher Inhalte. Aber wenn einem daran gelegen ist, dass sich Malware nicht so leicht ausbreiten (und z.B. grosse Botnetze bilden) kann und das Ganze auch noch finanziell lukrativ ist für deren Entwickler, dann sollte man auch verhindern wollen, dass solche "Risiko-User" Freiwild sind für die Angreifer. Denn die Inhalte konsumieren werden sie so oder so, egal ob mit Infektion oder ohne.. Was wäre zum Beispiel ein Ansatz für Streamingwebsites? Mit AdblockPlus und NoScript alles wegblocken, was drumherum so blinkt und leuchtet und Schritt für Schritt nur soviel Skripting (temporär!) erlauben, dass der Stream korrekt wiedergegeben wird? Und würde eine Sandbox eine Kompromittierung des Systems zuverlässig verhindern, falls dennoch Schadcode ausgeführt würde? Nochmals, es geht mir jetzt hier nur um drive-by-Infektionen. Nachdem ich selbst bei den Updates etwas nachlässig war, hatte es mich auch erwischt und ich hatte mich auf einer gehackten Website in ein richtiges Schlangennest gesetzt. Als ich mich danach etwas im Kollegenkreis umgehört habe, habe ich festgestellt, dass zwar all die Standardsicherheitsregeln (Verhalten bei: unbekannten Mailanhängen, ausführbaren Dateien aus unbekannten Quellen, Phishingversuchen, sicherern Passwörtern, Einstecken unbekannter USB-Sticks, Lockvögeln über Facebook und co, etc etc) alle wohlbekannt waren, aber absolut kein Bewusstsein dafür vorhanden war, dass eine Infektion auch ohne eine eigene direkte aktive Handlung, eben drive-by, erfolgen kann. Deshalb: Kann man eine kompakte Checklist zusammenstellen, welche diese Gefahr so weit wie nur möglich (auch für "Risiko-User") minimiert? Geändert von aharonov (25.05.2012 um 02:04 Uhr) |
25.05.2012, 13:03 | #2 |
/// Helfer-Team | Bestmöglicher Schutz vor drive-by-Infektionen Hallo Tom86,
__________________man kann das Blocken ja soweit treiben, dass sich der Browser garnicht mehr ausführen lässt. Nein, Scherz beiseite. Ich bin der Meinung, dass die Betreiber seriöser Seiten, und nur von denen spreche ich, verantwortlich für die Sauberkeit ihrer Seiten sind und im nachgewiesenen Schadensfall auch schadensersatzpflichtig sein sollten. Wenn ein seriöser Seitenbetreiber, nur um Geld zu machen, seine Seite voll Werbung knallt und von Hinz und Kunz Banner und Links einbaut, dann nur schreibt "Für externen Müll bin ich nicht verantwortlich.", dann ist das zu wenig. Seriöse Seiten, auf denen man sich Plagegeister einfängt sind unseriös und sollten solange boykottiert werden, bis sie sauber sind und sauber gehalten werden. Das gilt auch für wetter.com. Das meint Volker |
26.05.2012, 14:42 | #3 | ||||
/// Mr. Schatten | Bestmöglicher Schutz vor drive-by-Infektionen Wenn du mir sagen kannst, wie hoch heute genau das Risiko ist, dann werde ich auch versuchen dir zu sagen, wieviel "Restrisiko" vorhanden ist. Wie es aussieht? Naja, dein PC ist infiziert.
__________________Zitat:
Zitat:
Allerdings könnte z.B. ein Anbieter, der vor allem Malware verteilen will, vermutlich ausgesprochen gut Nutzer mit Pornos locken. Ein (angebliches) Nacktbild von Anna Kurnikowa lockt halt doch mehr, als ein (Nackt-)Bild einer Amsel oder das Video "Straßenkehrer in Manhattan". Zitat:
Jede Sandbox hat auch die Chance auf Lücken. Zitat:
Nur muss der konkrete Schaden und die konkrete Ursache nachgewiesen werden, man muss nachweisen, dass man sein System anerkannt sicher gehalten hatte, dem Seitenbetreiber muss eine Schuld nachgewiesen werden und dann trägst du immer noch auch deinen Teil des allgemeinen Lebensrisikos (je nach Schuld des Anbieters).
__________________ |
03.06.2012, 22:02 | #4 |
| Bestmöglicher Schutz vor drive-by-Infektionen In diesem Zusammenhang möchte ich nochmals konkret nach Streams fragen. Youtube oder ..2k sind ja weit verbreitet. Ich habe NoScript getestet, aber dadurch war ein "normales surfen" durch ständige Abfragen etc. gestört, worauf hin ich dies wieder sein lies. Gibt es hier eine Art Liste an Scripts die als unbedenklich gelten und die man von vornherein freigeben kann, somit nur bei unbekannten nachgefragt/geblockt wird? Ich schaue mir nun mal gerne Videos sei es auf youtube oder anderen Portalen an, bleibt mir als einziger Schutz dann ein Backup vor dem anschauen eines Streams und ein anschließendes formatieren und wiederaufspielen des Backups?
__________________ Wer anderen eine Grube gräbt, der hat ein Grubengrabgerät. |
05.06.2012, 09:14 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bestmöglicher Schutz vor drive-by-Infektionen Hast du NoScript irgendwie nicht verstanden? Du kannst doch NoScript anweisen, dass es Youtube oder andere legitime Seiten permanent erlaubt
__________________ Logfiles bitte immer in CODE-Tags posten |
05.06.2012, 10:38 | #6 |
| Bestmöglicher Schutz vor drive-by-Infektionen Ich habe NoScript schon soweit verstanden cosinus. Allerdings bin ich sehr oft auf neuen Seiten und da ich mir eh nicht sicher sein kann ob eine Seite hundertprozentig vertrauenswürdig ist, ich aber entsprechende Inhalte nutzen möchte (deswegen bin ich ja auf den Seiten), ist für mich persönlich die "Kosten-Nutzenrechnung" als ich das zu letzten mal getestet habe nicht ganz aufgegangen. NoScript ist eines der Basic add ons, und ich werde ihm auch nochmals eine Chance geben. Aus Fehlern lernt man. Aber da von streams wohl auch eine Gefahr ausgeht und ich auf diese nicht verzichten möchte... naja.
__________________ --> Bestmöglicher Schutz vor drive-by-Infektionen |
05.06.2012, 11:00 | #7 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bestmöglicher Schutz vor drive-by-Infektionen Ja und? Wenn du ständig auf neue Seiten bist dann ist doch gerade dann NoScript sinnvoll. Oder willst du erstmal gleich jeder Seite alles erlauben? Ist doch ziemlich riskant und nervig, außerdem sieht man meistens doch auch schon wenn mit NoScript alles verboten ist ob die Seite brauchbar ist oder nicht. Wenn sie brauchbar ist stellt erlaubt man einfach diese in NoScript wenn es unbedingt sein muss Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
05.06.2012, 12:20 | #8 | |
| Bestmöglicher Schutz vor drive-by-InfektionenZitat:
Hier insbesondere wenn der Empfang mittels Multicast und dem RTP (Real Time Protocol) Stream realisiert, und per SAP (Service Announcement Protocol) veröffentlicht wird.
__________________ Wer anderen eine Grube gräbt, der hat ein Grubengrabgerät. |
05.06.2012, 12:26 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bestmöglicher Schutz vor drive-by-Infektionen Was bitte soll an einem Datenstream so riskant sein? Vor was genau willst du dich da schützen? Bitte mal definieren was dir so durch den Kopf geht oder ob es einfach nur die Angst aus evtl. Unwissenheit ist Youtube kannst du ja gern nutzen, aber lass die Finger von diesen anderen dubiosen Portalen.
__________________ Logfiles bitte immer in CODE-Tags posten |
05.06.2012, 12:50 | #10 |
| Bestmöglicher Schutz vor drive-by-Infektionen Ich nutzte einen Service der innerhalb eines Netzwerks Streams anbot als mein Rechner anfing verrückt zu spielen. Daher mein Verdacht das dies schuld sein könnte. Und der Service ist zu 100 % LEGAL! (Könnte Dir auch weitere Infos in einer privaten Nachricht senden.) Aber vermutlich habe ich mir das doch woanders eingefangen. Stellt sich nur immernoch die Frage was genau an "dubiosen" Streams gefährlich ist?
__________________ Wer anderen eine Grube gräbt, der hat ein Grubengrabgerät. |
05.06.2012, 13:54 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bestmöglicher Schutz vor drive-by-Infektionen Ich meinte keine dubiosen Streams sondern dubiose Portale! Webportale die mit Exploits oder Abofallen bestückt sind, gab es alles schon!
__________________ Logfiles bitte immer in CODE-Tags posten |
05.06.2012, 14:13 | #12 |
| Bestmöglicher Schutz vor drive-by-Infektionen OK, ich bin halt kein Experte und wollte einfach für das nächste Mal etwas schlauer sein. Ob nun ein buffer overflow oder etwas anderes Ursache meines Problems war bleibt mir ein Rätsel.
__________________ Wer anderen eine Grube gräbt, der hat ein Grubengrabgerät. |
05.06.2012, 14:15 | #13 | ||||||
/// TB-Ausbilder | Bestmöglicher Schutz vor drive-by-InfektionenZitat:
Nein, ich war nur auf der Suche nach einer möglichst einfachen und praktikablen Checkliste, die zusammen mit brain.exe aber ohne irgendwelche vermeintliche Rundum-Wohlfühl-Sicherheitssoftware das Risiko minimiert. Würdet ihr meinem Vorschlag im ersten Post soweit zustimmen? Sollte noch etwas Wichtiges hinzugefügt werden oder ist etwas davon völlig sinnlos? Zitat:
Zitat:
Ja klar, ich wollte nur fragen, wie sowas normalerweise mehrheitlich abläuft: Wird gleich das gesamte Paket mit allen Skripten und so auf den Server der gehackten Seite deponiert oder wird einfach ein iframe eingebaut, welches dann weitere Skripte auf einem anderen Server aufruft und so den Download in Gang setzt? Und wäre man in zweiterem Falle geschützt, wenn NoScript nur Skripts der Domain der besuchten Seite erlaubt? (Also dass das iframe zwar die anderen Skripts aufrufen, diese aber nicht ausgeführt werden können..) Zitat:
Zitat:
Zitat:
|
14.06.2012, 11:39 | #14 |
| Bestmöglicher Schutz vor drive-by-Infektionen 100% ige Sicherheit bekommst Du nirgends. Wenn Du zB gerne Game of Thrones Staffel 2 sehen willst, weil es einfach genial ist, dann musst Du entweder warten bis es im PayTV läuft oder ... Bei ... sollte man dann wirklich das Ganze gesandboxt ablaufen lassen, und schrittweise testen, was die Site alles braucht: Script, Flash, aktive Inhalte etc. Das dann schrittweise "heraufschrauben". Im Endeffekt muss man sich halt selbst fragen, ob man die ganze Zeit mit 100% Script, allen aktiven Inhalten freigegeben surfen muss oder nicht. Das Add-On Noscript braucht man dafür noch nicht einmal. Einfach im Browser - ich benutze Opera - die entsprechenden Einstellungen (F12) manuell konfigurieren und dann seitenspezifisch abspeichern. |
23.06.2012, 21:13 | #15 |
| Bestmöglicher Schutz vor drive-by-Infektionen Ich bin da viel zu faul für.Ich bin auch der Meinung, dass es keine 100% Sicherheit gibt (Pessimist). Daher habe Ich immer, wenn Ich auf "dubiose,unseriöse oder religiöse bzw andere komische Websites" gehe meine Windows 2. Lizenz in der Virtuellen Maschine am laufen. Die kann ich ohne Datenverlust neu aufsetzen und zurücksetzen wie ich will.Solange kein Exploit für die erscheint und der Virus auf meinen echten PC übergreift :O Dann muss man sich nicht mit Opera,Firefox,Noscript o.ä abmühen. Ich mag sie zwar, aber zu fauuuul Xd |
Themen zu Bestmöglicher Schutz vor drive-by-Infektionen |
aufrufe, bli, blinkt, bot, browser, checklist, checkliste, dateien, download, drive-by infektion, festgestellt, firefox, frage, geblockt, hängen, infiziert, java, maleware, passwörter, pdf, programme, schadcode, schutz, seite, sicherer, temporär, updates, websites, windows, öffnet |