Drive-By Downloads, wie gefährlich
 

Nur so als Neugier. Wie gefährlich sind Drive-By Downloads bzw. das Browsen von HTML-Mails und Seiten ohne Sachen herunterzuladen, wenn man folgendes berücksichtigt:
-Aktuelles OS mit Updates
-Browser mit Updates
-Plugins für Browser wie uBlock Origin oder MW Browserguard
-Defender oder ein anderes sinnvolles AV-Programm wie ESET

Auf manchen Seiten wird ja geschrieben, dass schon das Öffnen einer HTML-Mail gefährlich sein kann, auch wenn man auf nichts klickt und das klingt schon etwas extrem für mich.

Ich dachte immer, dass es nur gefährlich ist links oben Berechtigungen zu erteilen oder Sachen blind herunterzuladen und auszuführen.

Servus,

Drive-By-Infektionen sollte man jetzt nicht überbewerten, es gibt ganz klar "einfachere Wege", wie man seinen Rechner infizieren kann.

Mit den von dir genannten Punkten wird man wohl einen großen Teil bereits vorher blockieren/abfangen können, aber nie alles... manchmal existieren unbekannte/nicht dokumentierte/berichtete Schwachstellen, die daher vom Hersteller noch nicht behoben werden konnten.

Grund ist einfach, dass beim Besuchen einer manipulierten Seite heimlich bestimmte Frames geladen werden. Diese Frames "untersuchen" z. B. den Browser und die installierten Erweiterungen bzw. Plugins auf Schwachstellen. Wird eine Schwachstelle/Sicherheitslücke gefunden, wird ein entsprechender Exploit ausgeliefert, woraufhin Malware nachgeladen wird. Die Malware, die nachgeladen werden soll, wird zuvor mit allen gängigen Sicherheitsprogrammen überprüft, damit sie möglichst nicht erkannt wird.

Wichtig sind diese beiden Punkte:

• Man sollte immer nur die wirklich benötigten Programme installieren, um die Angriffsfläche so gering wie möglich zu halten.
• Das Betriebsystem und alle Programme (inklusive Erweiterungen/Plugins/etc) müssen stets aktuell sein.

Leider werden diese beiden Punkte von vielen Nutzern nicht beherzigt.

Viele Nutzer verlassen sich auch einfach viel zu sehr auf das "Antivirenprogramm" (Anmerkung: Diese Bezeichnung ist eigentlich falsch!) und halten sich nicht an gewisse Sicherheitsregeln.
Das Gesamtpaket muss insgesamt stimmen, wie hier nachzulesen ist.

So gefährlich, wie es jeder Nutzer für sich selbst, oder jeder Admin für sein Netzwerk zulässt.

Da sind wir schon beim ersten Punkt: Keine HTML-Emails, sondern im E-Mail-Programm auf "Nur Text" schalten.

Selbst der Aufruf einer Website ist technisch gesehen bereits ein Download! Weil zig Dateien vom "Hauptserver" sowie querverwiesenen Servern im Web heruntergeladen werden. Wenn man eine Website aufruft, verschickt der Browser bzw. das Betriebssystem lediglich Anforderungen zum Download der hinter der Ziel-URL liegenden Dateien!

+ Nutzung des Rechtesystems!

"Aktuelles OS" ist außerdem dehnbar. So wird beispielsweise Windows 8.1 noch bis Anfang 2023 mit Updates (=Patches) für bekannt gewordene Sicherheitslücken versorgt und ist in dem Sinne noch aktuell zu halten. Aber: Hinsichtlich der Entwicklung, der Features und somit auch der Sicherheitsfeatures, ist es nicht mehr aktuell, weil diese Entwicklung bereits spätestens mit dem 9. Januar 2018, also vor über drei Jahren, endete.

Und gerade dieser Punkt ist besonders wichtig, vor allem, wenn es um Zero-Day-Exploit-Schutz und mögliche Drive-by-Infektion geht:

-> https://www.heise.de/newsticker/meld...e-3857854.html
-> https://www.heise.de/select/ct/2017/24/1511474846218626
Das ist aber nur ein Beispiel, das stellvertretend für viele andere neue Funktionen, auch unter anderen Betriebssystemen im Allgemeinen, steht, die die Sicherheit durch zeitgemäße Implementierungen verbessern, welche jedoch doch bloße Sicherheitsupdates für einzelne gefundene Lücken nicht erreicht, geschweige denn kompensiert werden kann.

Es kommt also immer auf den gesunden Gesamtmix an: Aktuelle Sicherheitsfeatures und aktuelle Sicherheitspatches.


Ja, natürlich, der Browser ist neben dem OS mit die wichtigste zu pflegende Software. Aber eben auch die in ihm integrierten Plugins und Addons, sowie die Konfiguration(!) des Browsers. So ist die Präsenz jeglicher unnötiger (= vermeidbarer) Plugins und auch Addons zu vermeiden. Beispielsweise MS-Office- oder Adobe-Reader-Plugins im Browser sind keine gute Idee, wenn diese zur Darstellung von Inhalten auf Webseiten automatisch initialisiert werden können! Hier greift also der Rat der Minimierung der Angriffsfläche!

Naja, eher in Richtung Addons (Erweiterungen); uBlock Origin, NoScript, usw. Nicht überfüllen! Dafür aber das, was man verwendet, gut konfigurieren und verstehen, das ist ganz wichtig. Unter "Plugins" werden mehr die Brücken-Schnittstellen zu auf dem System installierten Drittanbieterprogrammen bezeichnet.

Nicht zu viel Erwartungslast auf die Virenscanner legen. Die anderen Punkte sind wichtiger und wirkungsvoller.

Das ist nicht extrem. Unter andrem so werden Sicherheitslücken ausgenutzt.

Nein. Man muss dazu auch ganz dringend wissen, dass solche schädlichen Exploits nicht nur "unseriösen" Websites, sondern eben auch auf ganz normalen Internetseiten des täglichen Besuchs platziert werden -- z.B. über kompromittierte Werbe-Dienstleister. Das Prinzip ist uralt, wie man hier sehen kann:
-> https://www.heise.de/newsticker/meld...te-117002.html

Funktioniert aber heute immer noch. Nicht zuletzt deswegen, weil User fälschlicherweise glauben, solche Malware würde nur auf unseriösen Seiten verbreitet. Diese Annahme ist falsch. Denn auch diese Webseiten laufen auf Servern, die letztlich nichts anderes sind als Computer, die 24/7 am Web hängen, auf denen ggf. verwundbare Serverbetriebssysteme oder Anwendungen, mit unsicherer Konfiguration, etc. laufen. Daher können auch die Server seriöser Webseitenbetreiber kompromittiert und auf diesen Exploits platziert werden, die die Systeme der Seitenbesucher systematisch und automatisiert auf Schwachstellen hin prüfen und bei Vorliegen ggf. innerhalb weniger Sekunden ausnutzen.

Außerdem darfst Du nicht den Router, dessen Aktualität und Konfiguration vergessen. Hier muss ebenfalls darauf geachtet werden, stets ein Modell zu nutzen, das noch Aktualisierungen bekommt. Und diese Aktualisierungen müssen natürlich sehr zeitnah eingespielt werden.
-> https://www.heise.de/news/Cybercrime...r-4848764.html

Einen Weg das Risiko auf gefährlichen Seiten zu landen zu verringern, (nicht ausschließen!)
ist es die URL/Domain zu googeln. Dort steht zwar nicht "böse" oder "gut" aber es lassen
sich an Hand der Suchergebnisse Rückschlüsse ziehen. Im Zweifel "Finger weg"

Ich würde sogar sagen viel schlimmer noch als ein Download. Ein Download bedeutet ja nur das Herunterladen in ein tmpdir, aber bei den heutigen Websites sind Dutzende Scripte hinterlegt. In sofern entspricht der Besuch einer Website eher das permanente Ausführen von Programmen, die vorher runtergeladen worden sind. Sowohl von vom eigentlich besuchten Webauftritt als auch von irgendwelchen eingebetteten Scripten von irgendwelchen anderen meist Tracker- und Adserver.

Eigentlich müsste per default überall NoScript aktiv sein, aber damit kommen Otto & Lieschen nicht drauf klar. Sie verlassen sich dann auf Norton, Avira oder Kaspersky ohne den Hintergrund zu verstehen… :pukeface:

Naja gut, 100% wird man bestimmt nie erreichen. Das ist mir schon klar.

Aber die Betriebssysteme an sich haben sich doch schon verbessert bei der Sicherheit. Oder ist das eine Fehlinformation? Gut, es kamen neue Risiken wie die Clouds dazu. Da war ja mal was mit Promis und Apple. Flash war bestimmt auch ein großes Thema.

Es klingt aber schon heftig, dass nur Browsen reicht. Manche Sachen kann man sich ja denken, z.B. dass illegale Aktionen auf illegalen Seiten wahrscheinlicher sind, aber da gab es ja auch eine Verbesserung, z.B. illegale Streamingseiten sind hinfällig seitdem es gute legale Angebote gibt.

Gut, das folgende sind ja nur ein paar Einzelfälle, aber wenn ich in die Log-Threads schaue, habe ich den Eindruck, dass die Ursache vom Problem meistens ein ausgeführtes Programm ist.

Die Sicherheitseinstellung vom Firefox direkt ist doch in erster Linie "Verbesserter Schutz vor Aktivitätenverfolgung" auf "streng" oder gibt es da noch etwas anderes schwerwiegendes?

So isses auch. Die zweite Wahrheit ist aber auch:
Windows ist unglaublich umständlich und aufwendig zu warten. Das Einspielen der Updates kann auf etwas älteren Systemen schonmal richtig lange dauern. Dann werden mit diesen Updates auch nur die von Microsoft berücksichtigt. Alles andere wie Firefox, IrfanView, LibreOffice, Java RE etc pp da muss sich der Benutzer SELBST drum kümmern!!! :pfui:

Und weil die meisten halt nichts anderes kennen tippen sie ihr Programm in Google rein und laden vom ersten Suchergebnis. Da ist dann meist so ein Schrott wie vlc.de, chip.de, openoffice.de oder so dabei. Und nun rate mal warum in meiner Signatur drinsteht bzw verlinkt ist, wie man Programme richtig installiert :cool:

Nein, aber man kommt sehr nahe dran. Viele verwenden "es gibt keine 100% Sicherheit" jedoch gerne als "Alibi-Argument", um die notwendigen grundlegenden Absicherungsmaßnahmen nicht umsetzen zu müssen. Landen dadurch allerdings eher in Annäherung an die Null Prozent Sicherheit.

Sagen wir so: Die Entwicklung der Sicherheitsmechanismen der Betriebssysteme trägt den "Innovationen" der Malwareverbreiter Rechnung. Es finden also stetige Anpassungen und Weiterentwicklungen statt (das ist aber ein quasi fortlaufender Prozess, Du kannst also nicht davon ausgehen, dass z.B. in zwei Jahren keine Sicherheitsprobleme mehr bestehen, weil die Systeme noch weiter verbessert wurden! Du musst also das Wort "schon" in Deiner Formulierung streichen!). Diese muss der Nutzer aber auch installieren.

Nein, das hatte ich ja oben im Text selbst geschrieben:

Die Clouds an sich haben aber weniger bis gar nichts mit Drive-by-Infektionen zu tun (mal abgesehen von kompromittierten Servern im Web, die im Cloud-Verbund laufen, aber dadurch verändert sich das Schema von Drive-by-Infektionen nicht).


Das war aber etwas anderes:
-> https://www.heise.de/mac-and-i/meldu...e-2311747.html
-> https://stadt-bremerhaven.de/tim-cook-apple-icloud/
Wie gesagt, das ist ein alter Hut. Abermillionen Systeme wurden in den letzten 15 Jahren sicherlich auf diesem Wege kompromittiert.

Siehe oben, ich schrieb, dass auch über seriöse Webseiten eine solche Verbreitung erfolgen könne, und dies auch der Fall ist.

Dazu gab es hier schon eine Diskussion:
-> https://www.trojaner-board.de/200829...dsoftware.html

Dabei geht es aber um eine Datenschutzkonfiguration und kein Sicherheitsfeature zur Vorbeugung gegenüber Drive-by-Infektionen!

Absolut. Da gehe ich voll mit.

Ja, weshalb auch Adblocker einen Sicherheitseffekt mit sich bringen.

Dieses Sich-Verlassen ist ja oft sogar eine gefühlte "Abhängigkeit" von der Software. Ohne diese hat man Angst, ins Web zu gehen. Daran sieht man schon, wie viel Erwartung dahinter steckt.

Seit einer Weile schau ich 2-3 mal pro Woche bei Hilfe/Über Firefox nach der Version und da hat er sich eigentlich immer von alleine aktualisiert. Hatte der VLC-Player nicht auch eine Funktion dafür?

Ich habe immer das englische Wiki benutzt um die Homepages von Programmentwicklern zu finden.

Also mit 100% habe ich jetzt wirklich 100,000% gemeint, keine aufgerundeten 98% oder ähnlich. Es gibt auch Leute, die sich für immun halten, weil sie Apple oder Linux haben. Bei den Maßnahmen hat man bestimmt auch das Pareto-Prinzip. Die 80% klingt nach viel, aber lässt Raum für eine relativ große Lücke.

In dem Beispiel oben bin ich ja davon ausgegangen, dass alles aktuell gehalten wird. Bist du dir sicher, dass Windows nur reagiert und nie zuerst agiert?


Ich wollte damit sagen, dass es im Zusammenhang mit der Entwicklung auch neue Sachen auf die man achten muss gibt.

Deswegen habe ich ja oben die Rechner-Einrichtung erwähnt. Es sind schon ganz extreme Leute unterwegs, z.B. habe ich mal einen erlebt, der absichtlich keine Antivirus und keine Firewall hatte, weil er meinte, dass das nur den Rechner verlangsamt. Deswegen war mein Punkt ja gerade, ob das auch relevant ist bei Systemen mit Sicherheitskonzept oder eher bei Systemen wie ein Notebook voller Bloatware ohne Updates.

Die Sachen, die da direkt als "Sicherheit" gelistet sind, sind doch standardmäßig aktiviert, oder nicht?

Die o.g. Einstellung hat doch Funktionen, die auch manche Adblocker bieten ohne deren vollständige Wirkung zu ersetzen.

Jetzt muss ich an den Textmodus im Browser denken, der früher oft von Leuten mit Trafficlimit verwendet wurde.

Firefox bzw alles von Mozilla ist ein schlechtes Beispiel. Sollte auch nur verdeutlichen wie das bei anderen Systemen läuft wie zB Debian. Da mach ich in der Konsole oder auch gerne über eine GUI ein Update und mit diesem Updateprozess werden auch wirklich ALLE Programme berücksichtigt. (sofern ich diese auch per Paketverwaltung installiere und nicht per Linux-Dreisatz ( ./configure; make; make install) oder einem anderen Weg an der Paketverwaltung vorbei)

Es ist doch keine Lösung, dass ich manuell jedes Programm unter Windows erstmal öffnen muss und jedes bringt seinen eigenen Updater mit. Das ist kompletter Pfusch.

Microsoft muss da mal dringend nachbessern. Allgemein fliegt denen das Windows 10 gerade aber umme Ohren, es gibt aktuell derzeit kaum ein Patchday ohne Probleme. Das war zu Zeiten von XP/Vista/7 deutlich besser von der Qualität. Beispiele:

31.03.21 https://www.heise.de/news/Windows-10...e-6002784.html
21.04.21 https://www.heise.de/news/Windows-10...7-6022710.html
27.04.21 https://www.heise.de/news/Windows-10...s-6029365.html
12.05.21 https://www.heise.de/news/Probleme-n...n-6044346.html
18.05.21 https://www.heise.de/news/Windows-10...n-6047946.html

Die massive Anzahl an solchen auch hirnrissigen Problemen deutet auf grundlegende interne Probleme bei Microsoft hin. Das weiß die rechte Hand nicht mehr was die linke tut. Die haben ihren Saustall Windows einfach nicht mehr im Griff. Hab da auch die letzten Tage tw. heftig auf heise.de diskutiert.

Ja, Firefox bringt einen Hintergrunddienst mit, über den er sich dann selbst aktualisiert. Das bieten allerdings nicht alle Programme, und es funktioniert dort auch nicht immer zuverlässig. Kurzum: Es gibt keine klare Aktualisierungsstruktur von Seiten des Betriebssystems für Drittanbieterprogramme, wie man es z.B. unter Linux-Distributionen mit den Paketmanangern hat. Deshalb geht im Schnitt bei vielen Nutzern viel veraltete Software unter und wird eben nicht aktuell gehalten. Viele sehen auch die Notwendigkeit nicht (ein), und blockieren sogar vorsätzlich die Aktualisierungen.

Das Problem ist nur: Nicht alle haben ein Wiki, oder benennen es so.

Unter allen Betriebssystemen muss man sich als Nutzer entsprechend verhalten. Unter Linux muss man allerdings nicht erst wichtige grundlegende Punkte nachkalibrieren (z.B. "Ansicht" unter Explorer-Optionen, Benutzerkonto / UAC, Nachrüstung durch Chocolatey als Quasi-Paketmanager-Ersatz, usw.). An diese Punkte denkt der 0-8-15-User nicht, daher bleibt unter Windows eine unsicherere Standard-Konfig bestehen, im Vergleich zu z.B. einer Linux-Standard-Konfig.

Nun, der Exploit-Schutz z.B. ist ja ein Präventiv-Schutz, und somit durchaus ein Agieren, weil er Neuem vorbeugen hilft. Gleichzeitig ist es aber auch ein Reagieren auf den Prozess der permanenten Malware-Verbesserung bzw. -Veränderung. Man muss sich darüber im Klaren sein, dass man mit älteren Systemen mehr und mehr auf diesen partiellen Präventivschutz verzichtet.

Ob man einen Virenscanner verwendet oder nicht, ist anderen Maßnahmen gegenüber erstmal nachrangig. Der Gedanke daran kann zuletzt kommen, wenn man alles andere erledigt hat. Und wenn man ein Notebook voller Bloatware hat, dann installiert man es halt am Anfang ganz frisch neu, ohne den ganzen Ballast. Warum macht man das? U.a. deswegen:
-> https://www.heise.de/security/meldun...m-2555934.html

Nein, Du hast die Möglichkeit, zumindest in den Bereichen alles zu blocken, was FF anbietet, aber das muss dann jeweils individuell ausgewählt / kontrolliert werden. Denn Standardkonfigurationen können durchaus von Release zu Release mal verändert werden, was sich z.B. bei einer kompletten Neuinstallation des Browsers auswirkt.

Nein. Dazu braucht es z.B. uBlock Origin und NoScript. Es muss darum gehen, potentiell gefährliche Inhalte nicht zuzulassen bzw. gar nicht erst durch den Browser im Hintergrund herunterladen zu lassen: Was gar nicht erst geladen und gerendert wird, kann auch keine Probleme verursachen, schlicht, weil es nicht "da" ist.

Pihole wäre auch was. Als netzwerkweiter adfilter. :party:

Ja, der werkelt auch am Internetanschluss meiner Schwester und verrichtet dort prima seinen Dienst. Das Schöne ist, auch er ist durch die Linux-Basis "schlank" gehalten und kann auf automatische Aktualisierung konfiguriert werden. Also sehr wartungsarm obendrein.

Da ist so eine Investition in einen Raspberry Pi weitaus sinnvoller als in irgendeine angepriesene "Voodoo-Software". Leider ist es recht schwierig, den Vorteil einer solchen Investition (im Vergleich zur besagten Software) Nutzern zu vermitteln. Denn, "Pi-hole, was ist das?, nie gehört, ich kenne nur Avira/Avast/etc.".

Aber das Hauptproblem sind ja solchen stümpernden Milliardenfirmen wie Microsoft. Die sind doch nur noch am Markt, weil Tausende von Firmen von MS nun abhängig sind.

Und diese MS-Trolle in heise. Durchschaubar wie Plexiglas. MS bezahlt die doch bestimmt oder? :)

Ein PiHole ist aber auch nichts, was man mal eben so einrichtet.