Bestmöglicher Schutz vor drive-by-Infektionen
 

Hallo liebe Experten

Wenn man bewusst undurchsichtige Mailanhänge öffnet oder (evtl. dubiose) Programme ausführt, ist das eine Sache, aber wenn man sich nur schon beim Aufrufen einer Website (insbesondere bei einer als "seriös" eingestuften wie kürzlich wetter.com) ohne eigenes Zutun per drive-by Download infiziert, finde ich das schon noch eine Spur heimtückischer und so habe ich mich gefragt, wie man sich bestmöglichst dagegen wehren kann und wollte euch dazu fragen.

Kann man eine einfache Checkliste erstellen, mit deren Hilfe man sich so gut wie möglich vor drive-by-Infektionen schützt? Zum Beispiel:
1) kein Konto mit Administratorenrechten beim Surfen
2) Windows, Browser, Java, Flash, pdf, Plugins, AV aktuell halten
3) Firefox mit Addons AdblockPlus und NoScript verwenden und nur Skripts von unmittelbar benötigten (und bekannten) Domains erlauben. Sorgsam mit dauerhaften Positivlisten umgehen.
4) Browser in einer Sandbox ausführen
Wie würde so eine komplette Liste aussehen? Wieviel Restrisiko würde dennoch bleiben und wie sähe dieses aus?

Wie ist das, wenn auf unbescholtenen Websites von dritter Seite bösartige iframes eingebaut werden? Wäre man konkret im wetter.com Beispiel durch das NoScript Addon auch dann geschützt gewesen, wenn man Skripts von wetter.com selbst (der korrekten Darstellung und Funktionsweise wegen) zugelassen, aber alle anderen Domains geblockt hätte, die Skripts auf der Seite ausführen wollten?

Weiter bin ich mir bewusst, dass wohl eine grosse Mehrheit solcher Infektionen von zwielichtigen bis illegalen Quellen wie Sport- und Serienstreams oder Erwachsenenunterhaltung stammen. Natürlich sind solche User in einem gewissen moralischen Sinne "selbst Schuld", wenn sie sich auf einer dubiosen semilegalen Streamingseite infizieren und es geht mir auch überhaupt nicht um den sorgenfreien Konsum solcher Inhalte. Aber wenn einem daran gelegen ist, dass sich Malware nicht so leicht ausbreiten (und z.B. grosse Botnetze bilden) kann und das Ganze auch noch finanziell lukrativ ist für deren Entwickler, dann sollte man auch verhindern wollen, dass solche "Risiko-User" Freiwild sind für die Angreifer. Denn die Inhalte konsumieren werden sie so oder so, egal ob mit Infektion oder ohne..
Was wäre zum Beispiel ein Ansatz für Streamingwebsites? Mit AdblockPlus und NoScript alles wegblocken, was drumherum so blinkt und leuchtet und Schritt für Schritt nur soviel Skripting (temporär!) erlauben, dass der Stream korrekt wiedergegeben wird? Und würde eine Sandbox eine Kompromittierung des Systems zuverlässig verhindern, falls dennoch Schadcode ausgeführt würde?

Nochmals, es geht mir jetzt hier nur um drive-by-Infektionen. Nachdem ich selbst bei den Updates etwas nachlässig war, hatte es mich auch erwischt und ich hatte mich auf einer gehackten Website in ein richtiges Schlangennest gesetzt. Als ich mich danach etwas im Kollegenkreis umgehört habe, habe ich festgestellt, dass zwar all die Standardsicherheitsregeln (Verhalten bei: unbekannten Mailanhängen, ausführbaren Dateien aus unbekannten Quellen, Phishingversuchen, sicherern Passwörtern, Einstecken unbekannter USB-Sticks, Lockvögeln über Facebook und co, etc etc) alle wohlbekannt waren, aber absolut kein Bewusstsein dafür vorhanden war, dass eine Infektion auch ohne eine eigene direkte aktive Handlung, eben drive-by, erfolgen kann.
Deshalb: Kann man eine kompakte Checklist zusammenstellen, welche diese Gefahr so weit wie nur möglich (auch für "Risiko-User") minimiert?

Hallo Tom86,
man kann das Blocken ja soweit treiben, dass sich der Browser garnicht mehr ausführen lässt.
Nein, Scherz beiseite.
Ich bin der Meinung, dass die Betreiber seriöser Seiten, und nur von denen spreche ich, verantwortlich für die Sauberkeit ihrer Seiten sind und im nachgewiesenen Schadensfall auch schadensersatzpflichtig sein sollten.
Wenn ein seriöser Seitenbetreiber, nur um Geld zu machen, seine Seite voll Werbung knallt und von Hinz und Kunz Banner und Links einbaut, dann nur schreibt "Für externen Müll bin ich nicht verantwortlich.", dann ist das zu wenig.
Seriöse Seiten, auf denen man sich Plagegeister einfängt sind unseriös und sollten solange boykottiert werden, bis sie sauber sind und sauber gehalten werden.
Das gilt auch für wetter.com.

Das meint Volker

:balla: Wenn du mir sagen kannst, wie hoch heute genau das Risiko ist, dann werde ich auch versuchen dir zu sagen, wieviel "Restrisiko" vorhanden ist. Wie es aussieht? Naja, dein PC ist infiziert. :rolleyes:

Das kommt drauf an, wo die bösen Scripts tatsächlich liegen.

Laut Symantec (USA!) sind übrigens religiöse aufgemachte Sites deutlich gefährlicher als Pornosites. Liegt aber vermutlich auch daran, dass hier eine Pornoindustrie (also "Profis") einem (vor allem in den USA) Riesenhaufen an auch kleinen Kirchen und Spinnern gegenübersteht (deren Websites wohl oft leicht zu knacken sind). Man sollte sich also nicht nur auf das scheinbar Naheliegende verlassen.
Allerdings könnte z.B. ein Anbieter, der vor allem Malware verteilen will, vermutlich ausgesprochen gut Nutzer mit Pornos locken.
Ein (angebliches) Nacktbild von Anna Kurnikowa lockt halt doch mehr, als ein (Nackt-)Bild einer Amsel oder das Video "Straßenkehrer in Manhattan".

Wenn du unter "zuverlässig" 100% verstehst, dann nein.
Jede Sandbox hat auch die Chance auf Lücken.

schön. Und ich sage dir, auch die Anbieter unseriöser Seiten sind es. Wäre ja noch schöner, wenn nur seriöse Anbieter haften sollten und unseriöse nicht.
Nur muss der konkrete Schaden und die konkrete Ursache nachgewiesen werden, man muss nachweisen, dass man sein System anerkannt sicher gehalten hatte, dem Seitenbetreiber muss eine Schuld nachgewiesen werden und dann trägst du immer noch auch deinen Teil des allgemeinen Lebensrisikos (je nach Schuld des Anbieters).

In diesem Zusammenhang möchte ich nochmals konkret nach Streams fragen.
Youtube oder ..2k sind ja weit verbreitet. Ich habe NoScript getestet, aber dadurch war ein "normales surfen" durch ständige Abfragen etc. gestört, worauf hin ich dies wieder sein lies. Gibt es hier eine Art Liste an Scripts die als unbedenklich gelten und die man von vornherein freigeben kann, somit nur bei unbekannten nachgefragt/geblockt wird?
Ich schaue mir nun mal gerne Videos sei es auf youtube oder anderen Portalen an, bleibt mir als einziger Schutz dann ein Backup vor dem anschauen eines Streams und ein anschließendes formatieren und wiederaufspielen des Backups?

Hast du NoScript irgendwie nicht verstanden? Du kannst doch NoScript anweisen, dass es Youtube oder andere legitime Seiten permanent erlaubt

Ich habe NoScript schon soweit verstanden cosinus. Allerdings bin ich sehr oft auf neuen Seiten und da ich mir eh nicht sicher sein kann ob eine Seite hundertprozentig vertrauenswürdig ist, ich aber entsprechende Inhalte nutzen möchte (deswegen bin ich ja auf den Seiten), ist für mich persönlich die "Kosten-Nutzenrechnung" als ich das zu letzten mal getestet habe nicht ganz aufgegangen.
NoScript ist eines der Basic add ons, und ich werde ihm auch nochmals eine Chance geben. Aus Fehlern lernt man. Aber da von streams wohl auch eine Gefahr ausgeht und ich auf diese nicht verzichten möchte... naja.

Ja und? Wenn du ständig auf neue Seiten bist dann ist doch gerade dann NoScript sinnvoll.
Oder willst du erstmal gleich jeder Seite alles erlauben? :balla:
Ist doch ziemlich riskant und nervig, außerdem sieht man meistens doch auch schon wenn mit NoScript alles verboten ist ob die Seite brauchbar ist oder nicht. Wenn sie brauchbar ist stellt erlaubt man einfach diese in NoScript wenn es unbedingt sein muss

Auch an sich vertrauenswürdige Seiten können kompromittiert sein. NoScript allein ist daher nicht Zuverlässiges

RICHTIG! Aber wie schütze ich mich nun bei Streams?
Hier insbesondere wenn der Empfang mittels Multicast und dem RTP (Real Time Protocol) Stream realisiert, und per SAP (Service Announcement Protocol) veröffentlicht wird.

Was bitte soll an einem Datenstream so riskant sein? :wtf:
Vor was genau willst du dich da schützen? Bitte mal definieren was dir so durch den Kopf geht oder ob es einfach nur die Angst aus evtl. Unwissenheit ist :pfeiff:
Youtube kannst du ja gern nutzen, aber lass die Finger von diesen anderen dubiosen Portalen. :pfui:

Ich nutzte einen Service der innerhalb eines Netzwerks Streams anbot als mein Rechner anfing verrückt zu spielen. Daher mein Verdacht das dies schuld sein könnte. Und der Service ist zu 100 % LEGAL!
(Könnte Dir auch weitere Infos in einer privaten Nachricht senden.)
Aber vermutlich habe ich mir das doch woanders eingefangen. Stellt sich nur immernoch die Frage was genau an "dubiosen" Streams gefährlich ist?

Ich meinte keine dubiosen Streams sondern dubiose Portale! Webportale die mit Exploits oder Abofallen bestückt sind, gab es alles schon!

OK, ich bin halt kein Experte und wollte einfach für das nächste Mal etwas schlauer sein. Ob nun ein buffer overflow oder etwas anderes Ursache meines Problems war bleibt mir ein Rätsel.

Ja, und am besten man trennt gleich noch alle Netzwerkverbindungen.. Und schreibt seine Emails auf einer Schreibmaschine und versendet sie in einem Briefumschlag. :pfeiff:
Nein, ich war nur auf der Suche nach einer möglichst einfachen und praktikablen Checkliste, die zusammen mit brain.exe aber ohne irgendwelche vermeintliche Rundum-Wohlfühl-Sicherheitssoftware das Risiko minimiert. Würdet ihr meinem Vorschlag im ersten Post soweit zustimmen? Sollte noch etwas Wichtiges hinzugefügt werden oder ist etwas davon völlig sinnlos?

Ist mir nicht klar, warum man implizit Betreiber unseriöser Webseiten von der Verantwortlichkeit für ihren Inhalt entbinden sollte.. Aber anyway, ich bin ja daran interessiert, selbst meinen bestmöglichen Beitrag dazu zu leisten, so einen Vorfall a priori zu verhindern, um dann nicht a posteriori irgendwelche Verantwortlichen zu suchen und zur Rechenschaft ziehen zu müssen.

Finde ja den selbstregulatorischen Ansatz gut, schlampig arbeitende Webseitenbetreiber durch Boykott zu strafen und dadurch zu "erziehen" (sofern dann eine signifikant grosse Anzahl User mitmacht). Aber ob sie danach auch tatsächlich nachhaltig "sauber gehalten werden", merkt man ja erst, wenn wieder etwas passiert, und dann geht das Spiel von vorne los..

Ja klar, ich wollte nur fragen, wie sowas normalerweise mehrheitlich abläuft: Wird gleich das gesamte Paket mit allen Skripten und so auf den Server der gehackten Seite deponiert oder wird einfach ein iframe eingebaut, welches dann weitere Skripte auf einem anderen Server aufruft und so den Download in Gang setzt? Und wäre man in zweiterem Falle geschützt, wenn NoScript nur Skripts der Domain der besuchten Seite erlaubt? (Also dass das iframe zwar die anderen Skripts aufrufen, diese aber nicht ausgeführt werden können..)

Dann habe ich ja nichts zu befürchten :pfeiff: :rolleyes:

Ebenfalls völlig klar, auch hier wollte ich mich nach der empirischen Situation im Moment erkundigen. Ist es für (ausgereifte) Malware zur Zeit kein Problem, eine Sandbox zu erkennen und standardmässig zu umgehen, oder stellt diese tatsächlich ein schwerwiegendes Hindernis dar?

:balla: Aber das ist doch genau der Sinn bei NoScript, dass prinzipiell alles geblockt ist und man mit einer Whitelist selber entscheiden kann, von welchen vertrauenswürdigen Seiten man Skripts akzeptieren will.. Ist doch viel besser so, als wenn man beim wilden Surfen darauf vertraut, dass irgendeine vorgegebene Blacklist, welche ungewollte Skripts filtert, auf dem neusten Stand ist.. Bringt halt ein wenig Mehraufwand, aber so unerträglich viel doch auch nicht (zwei drei Klicks).. Und viele Seiten funktionieren ja auch einwandfrei ohne Skripts. Und sonst ist es doch immer noch besser, nur gezielt diejenigen Skripts zu erlauben, die man für korrekte Darstellung und Funktion auch wirklich braucht, und all die Trittbrettskripter aussen vor zu lassen..

100% ige Sicherheit bekommst Du nirgends.

Wenn Du zB gerne Game of Thrones Staffel 2 sehen willst, weil es einfach genial ist, dann musst Du entweder warten bis es im PayTV läuft oder ...
Bei ... sollte man dann wirklich das Ganze gesandboxt ablaufen lassen, und schrittweise testen, was die Site alles braucht: Script, Flash, aktive Inhalte etc.
Das dann schrittweise "heraufschrauben".

Im Endeffekt muss man sich halt selbst fragen, ob man die ganze Zeit mit 100% Script, allen aktiven Inhalten freigegeben surfen muss oder nicht.
Das Add-On Noscript braucht man dafür noch nicht einmal. Einfach im Browser - ich benutze Opera - die entsprechenden Einstellungen (F12) manuell konfigurieren und dann seitenspezifisch abspeichern.

Ich bin da viel zu faul für.Ich bin auch der Meinung, dass es keine 100% Sicherheit gibt (Pessimist). Daher habe Ich immer, wenn Ich auf "dubiose,unseriöse oder religiöse bzw andere komische Websites" gehe meine Windows 2. Lizenz in der Virtuellen Maschine am laufen. Die kann ich ohne Datenverlust neu aufsetzen und zurücksetzen wie ich will.Solange kein Exploit für die erscheint und der Virus auf meinen echten PC übergreift :O
Dann muss man sich nicht mit Opera,Firefox,Noscript o.ä abmühen. Ich mag sie zwar, aber zu fauuuul Xd