Liebes Forum,

ich habe mir den Artikel "Anleitung: Maßnahmen zur Absicherung des Rechners" aufmerksam durchgelesen und viel dazu gelernt. Danke dafür!
Trotzdem habe ich mal eine grundsätzliche Frage. Nach der Installation von Windows 7 habe ich bisher immer das standardmäßige Konto genutzt, wie wahrscheinlich sehr viele andere Anwender. Grundsätzlich sind ja alle Admin-Operationen abgesichert und müssen bestätigt werden (Installationen, Systemdateien ändern etc.). Wie kann es dann möglich sein, dass ein System allein durch Browsen ohne Klicks auf dubiose Fragedialoge mit Viren kompromittiert werden kann? Und das mit einem Browser (Firefox), der angeblich sicherer sein soll als der IE (Windows Updates, Firefox und Java war aktuell!).

Genau das ist mir schon einmal passiert und ganz aktuell ist der Laptop meiner Freundin betroffen. Sie hat definitiv auf keiner illegalen Seite gesurft, allerdings waren wohl Links aus einem Forum mit Adfly verknüpft. Letztlich ist es eine Vermutung, wie es passiert sein könnte aber es ist passiert: ohne ein Klick auf irgendeine Frage stürzte Firefox auf einmal ab und nach dem Neustart waren auf einmal zig kleine Programme installiert, die ich klar als Malware einstufe. Eines davon hieß "Istart Webssearch". Auch einige Addons waren in Firefox dazu gekommen. Ich habe soweit alles von Hand entfernt und bereinigt aber ärgerlich ist es auf jeden Fall.

Vor allem frage ich mich, wie genau so etwas passieren kann und warum Firefox nichts dagegen von Haus aus unternimmt. Bekommt ein Java-Skript einfach so Admin-Rechte? Wenn ja, warum ist das so? Unter dem Explorer wird doch immer pingelig darauf hingewiesen, dass etwas installiert wird oder Berechtigungen benötigt werden. Windows 7 ist also eigentlich gut abgesichert. Warum schafft es der Browser nicht, einen Riegel vorzuschieben?

Eine weitere Frage, die sich mir stellt ist, ob allein das Benutzen eines Standard-Kontos (Nicht-Admin) dazu führt, dass Java(oder was auch immer für)-Skripte nicht ungefragt Programme installieren oder Dateien manipulieren. Liegt hier genau der Nutzen von Noscript? Wenn ja, warum wird dieses Addon nicht standardmäßig in Firefox eingebaut. Aus Sicherheitsgründen wäre das doch mehr als essenziell. Oder zumindest sollte es doch möglich sein, dass bestimmt Befehle einfach gesperrt werden. Da macht das Browsen echt keinen Spaß mehr. Und von Virenscannern, die das System lahm legen, halte ich auch nicht viel. Vor allem hätte das vermutlich meiner Freundin auch nicht geholfen. Lösung = Linux?

Vielleicht kann mich da jemand etwas aufklären. Wäre sehr dankbar!

LG,
Andi

Zitat:

Wie kann es dann möglich sein, dass ein System allein durch Browsen ohne Klicks auf dubiose Fragedialoge mit Viren kompromittiert werden kann?

Es ist nicht möglich. Mal abgesehen von Lücken und ähnliches.

Zitat:

Eines davon hieß "Istart Webssearch".

Das ist nur Adware. Adware wir beim Installieren von Programmen mit installiert.

Zitat:

Bekommt ein Java-Skript einfach so Admin-Rechte?

Java ist nicht Javascript. Und nein, Java bekommt keine Adminrechte.

Zitat:

Liegt hier genau der Nutzen von Noscript?

Nein, NoScript verhindert generell das ausführen von Javascript und Plugins wie Java und Flash.

Zitat:

Oder zumindest sollte es doch möglich sein, dass bestimmt Befehle einfach gesperrt werden.

Java wird von einem zu Java gehörenden Programm ausgeführt. In Firefox wird normalerweise vor dem ausführen von Java gefragt, ob es wirklich ausgeführt werden soll. Firefox deswegen nichts gegen das ausführen der Befehle machen.

Wie die Heartbleed Lücke mal wieder zeigt haben Programme ab einer gewissen Komplexität Sicherheitslücken.

Genau deswegen machen Zusatzsperren wie Noscript und Adblock Plus Sinn: gesperrte Automatismen können im Zweifel keine Schadsoftware (Adware zähle ich da mal frei mit dazu) installieren.

Die Software die du heruntergeworfen hast war im Zweifel einfach nur unter dem beschränkten Nutzerkonto installiert- oder ?

Noscript etc. wird von Firefox deswegen nicht standardmäßig installiert weil es vielen Nutzern zu mühsam (sic!) ist auf jeder Website darüber nachzudenken welche aktiven Flash Inhalte sie zulassen wollen und welche nicht. Auch ich habe schon von einigen Leuten bei denen ich NoScript installiert habe wiederholt gehört "es sei zu umständlich". So sei es, wer lieber lästige Software installiert soll auch die Freiheit haben diese Risiken einzugehen.

Firefox oder Chrome sind definitiv sicherer als IE, einfach weil IE sehr tief im Betriebssystem sitzt und Active X--- dazu sag ich lieber gar nichts.

Dieser Administrator-Ausführ- Sperre unter Win 7 habe ich nie getraut, ich habe bei meinen Eltern sofort ein Admin Konto und eines mit eingeschränkten Rechten eingerichtet- und empfehle das dir auch.

Mittlerweile reicht es nicht mehr sich von dubiosen Websites fernzuhalten, kriminelle Banden greifen auch normale vertrauenswürdige Webserver an um Schadsoftware zu verbreiten. Wer aber illegal Software und Filme herunterlädt hat praktisch Schadsoftware "abonniert", d.h. der vervielfacht sein Risiko.

In diesem Sinne, weiterhin viel Spaß, Win 7 ist schon ziemlich sicher.


Edit: wie Mort schrieb, Javascript ist nicht gleich Java, viele Leute deinstallieren ihr Java im Browser- nur wenige Websites erfordern dies. Wer dies nicht tut sollte Java etc. immer aktuell halten.

Erst einmal herzlichen Dank für beide Antworten!

...auch wenn nur Letztere wirklich nützlich war.

@mort: Deine einzeiligen Statements mögen zwar alle richtig sein, aber der Lern- und damit Hilf-Effekt geht gegen Null, sorry

Fakt ist, dass ich mir damals allein durch betreten einer Seite einen Bundestrojaner eingefangen habe und meine Freundin beteuert, dass sie keinerlei Programme etc. installiert hat. Tatsache ist, dass extrem viele User von ähnlichen Ereignissen berichten. Die Frage, ob es möglich sei, allein durchs Browsen ohne unbedachte Klicks, einen Virus einzufangen, wird im Internet allgemein mit JA beantwortet. Und das sogar, obwohl zum Teil aktuelle Virenscanner verwendet werden.
Wenn die Ursache deiner Meinung nach nur eine Lücke sein kann, würde mich einfach interessieren, wie man sie effektiv stopfen oder möglichst vorsorgen kann (s.u.)

@W_Dackel: Vielen Dank für die wertvollen Infos! Ich werde und möchte allen Tipps nachgehen. Der Standardbenutzer ist schon eingerichtet. Trotzdem bleibt für mich nach wie vor die Frage, was eine möglichst effektive Minimalkonfiguration ist, die ein sicheres Browsen ermöglicht. Der Laptop meiner Freundin ist nicht der Schnellste und sie hat sicherlich nicht das nötige "Know How", um bei jeder Seite zu entscheiden "Darf ich? Darf ich nicht?".
Ich selber halte nicht viel von Virenscannern, da sie das System überwiegend verlangsamen und der Nutzen dazu nicht im Verhältnis steht. Deswegen habe ich nach der wirklichen Ursache solcher Angriffe gefragt, um dann entscheiden zu können, was wirklich sicher macht.

Noscript kenne ich von früher, habe es aber selber in der Tat aus Komfortgründen deinstalliert. Adblock+ läuft bei mir, allerdings glaube ich eigentlich nicht, dass mich dieses Addon wirklich schützen kann. Außerdem machen diverse Seiten immer häufiger Probleme und verlangen sogar eine Deinstallation.
Von Ghostery habe ich jetzt schon viel im Internet gehört. Es soll für weniger erfahrene Anwender wohl besser und auch schneller sein als Noscript. Was haltet ihr davon?
Wie sinnvoll ist ein Cockie-Blocker? Davon gibt es ja diverse. Kann von Cockies eine Gefahr ausgehen oder geht es da nur um den "Nerv-Faktor"? Wenn ja, welchen empfehlt ihr?

Bevor ich mir aber mein System mit dutzend Addons lahm lege, hier noch eine weitere Frage: wäre es nicht viel sinnvoller Sandbox für das Browsen allgemein einzusetzen? Um Downloads außerhalb der Sandbox zu speichern bzw. schnell darauf zugreifen zu können, gibt es ja genug Lösungen. Das ist auch eigentlich der einzige Komfortverlust, der mir einfällt.

Danke noch einmal für Eure Hilfe!

LG, Andi

Mort, Sicherheitslücke oder nicht, aber ich habe mir vor ein paar Jahren einmal (allerdings mit Opera) durch bloßes Besuchen einer (wohl gehackten) Website tatsächlich einen Schädling zugezogen. Der hat das ganze System nachher lahmgelegt und der Admin hat Stunden gebraucht, bis er es bereinigt hatte. Ich hatte definitiv kein "herunterladen" oder ähnliches angeklickt. Dr.Web (kostenpflichtig) hatte auch beim Besuch der Seite eine Warnmeldung gebracht, aber da war es wohl schon zu spät. Also vorkommen tut so etwas definitiv. Leider kann ich nichts Genaueres mehr dazu herausfinden, was das damals war.

Andi, Cookies können höchstens helfen, dein Webverhalten auszuspionieren, und das wohl auch nur, wenn du Drittanbietercookies erlaubst. Auf deinem System richten sie keinen Schaden an und ändern nichts, es sind winzige Textfiles, die in einem speziellen Ordner liegen und von den Websites, die du direkt oder indirekt (Werbebanner) besuchst, ausgelesen werden.

Zitat:

Zitat von Fragerin

Andi, Cookies können höchstens helfen, dein Webverhalten auszuspionieren, und das wohl auch nur, wenn du Drittanbietercookies erlaubst. Auf deinem System richten sie keinen Schaden an und ändern nichts, es sind winzige Textfiles, die in einem speziellen Ordner liegen und von den Websites, die du direkt oder indirekt (Werbebanner) besuchst, ausgelesen werden.

Danke! Hatte ich eigentlich auch so in Erinnerung. Werbung ist mir egal aber sicher surfen wär toll

LG, Andi

Hi Andi!
Es reicht wenn es ganz dumm läuft aus, eine präparierte Seite zu besuchen (Stichwort Zeroday-Lücke).
Aus diesem Grunde empfehle ich in meinem "clean-Baustein" auch BitBox. Das ist im Grunde eine virtuelle Maschine, auf Basis eines Linux-Betriebssystems die sich, bei entsprechendem RAM, bequem auf einem Windows-PC starten läßt. Ich denke dieses Konzept gewährleistet genügend Sicherheit gegen Trojaner und Keylogger etc. v.a. weil es Dir ja auch um sicheres Surfen geht.

Browser in the Box | Sirrix Aktiengesellschaft

Ich glaube nicht, dass sich bei Adware jemand wirklich die mühe machen würde extra solche Lücken zu nutzen. Kannst dir aber folgendes von Microsoft lesen:
SIR: Glossary

@deeprybka: Vielen lieben Dank für den interessanten Tipp! Das scheint mir wirklich ein vernünftiger Ansatz. Sandbox kenn ich ja schon aber wenn es nur um sicheres Surfen geht, scheint das eine viel schlankere und optimierte Variante. Ich werde es sofort testen. Sehr sympathisch finde ich auch, dass es eine Open-Source Version gibt. Außerdem ist diese Lösung einfach und nachvollziehbar.

@mort: Danke für den Link! Ich habe durch den Text zwar verstanden, wie komplex und diffus ein Angriff verlaufen kann, aber eine wirkliche zufriedenstellende Lösung kann ich daraus nicht ableiten. Ich sehe sie jedenfalls nicht in Bing.

Nach wie vor frage ich mich, welcher Bestandteil von HTML (und allem was darin enthalten sein kann, wie z.B. Javascript, Flash etc.) solche Unsicherheiten verursacht und warum das solchen Systemen wie Linux und Mac kaum juckt. Letztendlich möchte man doch nur Informationen auf dem Browserbildschirm. Warum ist es nicht möglich, die Funktionsvielfalt einer (Browser-)Skriptsprache nur auf die Darstellung von "Browserelementen" zu beschränken und den Rest einfach nicht zuzulassen. Technisch sollte das doch kein Thema sein. Hängt Oracle, Adobe und Konsorten da mit drin im Hamsterrad?
Ist es eigentlich in der Regel immer Java-Script (Java ist weder bei mir, noch bei meiner Freundin installiert), was derartige Probleme verursacht? Warum hat sich der Mist dann so durchgesetzt? Und wenn dem so ist, dann wäre man ja mit Noscript glücklich, solange man abschätzen kann, welches Skript gut oder bösartig ist.
Warum ist es nicht möglich, nur bestimmte Befehle zuzulassen bzw. zu blockieren. Z.B. diejenigen, die ausführbare Dateien starten etc. Wie sieht es aus mit PHP, was ja serverseitig ausgeführt wird? Im Endeffekt könnte doch der Browser jede HTML-Seite "parsen" und bestimmte "unsichere" Befehle, die nichts mit Webseiten-Darstellung zu tun haben, vor dem Ausführen eliminieren... oder?

Sorry für die vielen Fragen aber das Thema ist so interessant wie komplex

LG, Andi

Zitat:

Zitat von SchotenAndi

Letztendlich möchte man doch nur Informationen auf dem Browserbildschirm. Warum ist es nicht möglich, die Funktionsvielfalt einer (Browser-)Skriptsprache nur auf die Darstellung von "Browserelementen" zu beschränken und den Rest einfach nicht zuzulassen.

Exakt. Das würde eigentlich reichen. Nur: die diversen Anbieter und wohl auch die meisten Nutzer wollen offensichtlich Multimedia klicki bunti mit Bewegung und Ton. Und auch da gibt es Unterschiede: man könnte Film- und Tonformate (sowie pdf und Textformate) so gestalten dass kein ausführbarer Code drin enthalten ist, aber die Hersteller haben leider anders entschieden. Und somit kann in jedem Film, in jedem Musikstück, in jedem Office Dokument und sogar in jedem .pdf Schadsoftware enthalten sein, die schlimmstenfalls die (immerhin eingebauten) Sicherungsmaßnahmen umgeht und deinen Rechner infiziert.

Selbst wenn die Hersteller da mehr auf Sicherheit "im Design" bedacht gewesen wären: wenn dein Bildbetrachter eine Lücke hat kann selbst das Öffnen eines Bildes Schadcode ausführen.

=> 100 % Sicherheit gibt es nicht, egal was du tust.

An die "Bitbox" hatte ich auch schon gedacht, ich weiß aber nicht ob die noch aktuell genug ist, außerdem glaube ich dass sie für den Laptop deiner Freundin (der wie du schreibst nicht so schnell ist) das Richtige ist: in der Bitbox läuft ein Linux in einer VM in dem ein Browser läuft.

Wenn du das Risiko also wirklich minimieren willst könntest du statt dessen auf dem Laptop deiner Freundin ein Linux als Dual Boot installieren (bei langsamer Hardware & Anfängern empfehle ich Lubuntu oder OpenSuse mit LXDE als Desktop (OpenSuse, bei Installation "anderer Desktop" klicken, dann "LXDE" wählen).

Linux ist vom Design her nicht wirklich sicherer als Windows 7, da aber nur 2 % aller Desktops mit Linux ausgestattet sind lohnt es sich für die Kriminellen nicht Schadsoftware dafür zu schreiben. Somit surfe ich unter Linux reichlich unbeschwert. Als "Paranoiker" habe ich zusätzlich noch Adblock Plus (viele Kriminelle liefern Schadprogramme über Werbebanner aus- solange die Anbieter das nicht absichern surfe ich nur mit Adblocker) und Noscript.

Ehrlich gesagt muss ich aber auch sagen dass bisher bei den Windows Rechnern um die ich mich gekümmert habe nie groß was passiert ist. Wenn du also die Tipps die hier im Forum unter den Anleitungen als "wie sicherer ich einen Rechner ab" beherzigst reduzierst du die Wahrscheinlichkeit dich mit Schadsoftware herumzuärgern schon gewaltig.

W_Dackel, das mit AdBlock Plus interessiert mich jetzt auch. Ich habe nämlich zur Zeit bewusst keinen extra Werbeblocker bei mir drauf, da ich finde, wenn ich kostenols Ressourcen nutze, ist es nur fair, wenn ich auch deren Werbung sehe. (habe eine gute Freundin, die in der Werbebranche arbeitet, deshalb musste ich meinen allgemeinen Hass da etwas abbauen). Allerdings nur, solange die Werber auch fair sind und keine fiesen Scripte einbauen, deshalb läuft bei mir NoScript und bin mit dem Erlauben ziemlich sparsam. Und bei Flash-Plugins habe ich es so eingestellt, das jedes einzelne bestätigt werden muss. Im Ergebnis sehe ich übrigens fast keine Werbung.
Können jetzt Schadprogramme in Werbeanzeigen ausgeführt werden, OHNE dass Scripte laufen? Das geht doch eigentlich nicht, oder?

Ich habe keinen Hass auf die Werbebranche. Allerdings muss ich zugeben dass für mich viele Seiten praktisch unbenutzbar werden wenn ich Skripte und Werbung zulasse.

Mit NoScript alleine müsstest du gut genug geschützt sein wenn du die Adserver nicht zulässt (also Skripte von den Adservern nicht erlaubt hast). Ohne Skripte wird eine Infektion sehr unwahrscheinlich.

Ich habe nichts gegen werbefinanzierte Inhalte, dann muss die Werbung aber so dezent und so sicher sein wie in einer Zeitung... wenn mir Werbefenster im Browser "nachlaufen" oder Klänge abspielen ist bei mir ratz fatz der Blocker wieder drin... ich bin halt nicht so leidensfähig wie der Durchschnittsdeutsche.

OK, danke!

W_Dackel, ich danke dir für die aufklärenden Worte! Genauso verständlich, wie du die Sachlage formuliert hast, so traurig ist ihre Existenz.

Zitat:

Zitat von W_Dackel

=> 100 % Sicherheit gibt es nicht, egal was du tust.

Das stimmt, aber ich möchte wenigstens entscheiden können, was ich tue bzw. was getan wird. Deshalb suche ich nach Lösungen mit mehr Kontrolle, was natürlich auch mehr Know How voraussetzt. Ich selbst könnte mich mit Noscript anfreunden aber meine Freundin wird damit überfordert sein. Eine andere Schlussfolgerung nach allen Tipps und Kommentaren wäre, alle (unsicheren) Standard-Komponenten gegen Alternativen auszutauschen: Windows > Linux; Firefox > Chrome (s.u.); Acrobat Reader > Sumatra PDF etc.)

Bezüglich meines Thread-Titels habe ich eine interessante Seite gefunden:
hxxp://www.extremetech.com/computing/178587-firefox-is-still-the-least-secure-web-browser-falls-to-four-zero-day-exploits-at-pwn2own
Eigentlich wird hier genau bestätigt, was ich vermutet habe. Danach bin ich schon fast in die Versuchung gekommen, auf Chrome umzuschwenken. Und interessanterweise kommt hier die Sandbox wieder ins Spiel.
Aber eigentlich gefällt mir Firefox mit den nützlichen Plugins und so habe ich mich weiter auf Suche begeben. Fündig geworden bin ich hier:
hxxp://sandbox.secubrowser.com
und hier:
hxxp://www.chip.de/downloads/Secure-Browser-by-Dell_43910274.html
Bisher getestet habe ich nur SecuBrowser und es funktioniert ziemlich gut. Einzige Nachteil ist eben der "virtuelle Speicherort" der Daten. Aber da lässt sich ja was machen. Bisher ist die Sandbox-Lösung in meinen Augen die einzige "sorglos"-Konfiguration für komfortables und uneingeschränktes Surfvergnügen, die auch für ältere Rechner funktioniert. Grundsatz dabei: generell aufpassen, wo man hin surft und wo man drauf klickt aber nicht Übertreiben. Wenn was passieren sollte (ist mir mit der genannten Methode bisher nur sehr selten), lässt sich Firefox in Sekunden wiederherstellen und weiter geht's.

Zitat:

Zitat von W_Dackel

An die "Bitbox" hatte ich auch schon gedacht, ich weiß aber nicht ob die noch aktuell genug ist, außerdem glaube ich dass sie für den Laptop deiner Freundin (der wie du schreibst nicht so schnell ist) das Richtige ist: in der Bitbox läuft ein Linux in einer VM in dem ein Browser läuft.

Ja, vollkommen richtig! Auch das habe ich heute Abend ausprobiert. In der Tat kommt diese Lösung aus Performance-Gründen nicht in Frage. Eigentlich schade.

Zitat:

Zitat von W_Dackel

Wenn du das Risiko also wirklich minimieren willst könntest du statt dessen auf dem Laptop deiner Freundin ein Linux als Dual Boot installieren (bei langsamer Hardware & Anfängern empfehle ich Lubuntu oder OpenSuse mit LXDE als Desktop (OpenSuse, bei Installation "anderer Desktop" klicken, dann "LXDE" wählen).

Vielen Dank für die Info! Ich selbst hatte ihr auch bereits Linux als Standard-System empfohlen aber sie hängt doch sehr an einigen Programmen, die nicht gut unter Wine laufen würden.
Darf ich ganz nebenbei fragen, welche Linux-Distrtibution du verwendest?
PS: ich browse überwiegend mit einem PowerPC der Marke Apple... auch zieeeemlich unbeschwert ;-)

LG, Andi

Ich habe hier eine Opensuse mit KDE.. vor Jahren damit angefangen, und nie einen Grund gesehen zu wechseln.

Experimentiert habe ich mit diversen Ubuntus, mit XFCE, mit der AntiX Debian Variante (für extrem kleine Uraltrechner) - die Distributionen schenken sich nicht viel, wobei ich Anfängern erst mal Opensuse oder eine Ubuntu Version empfehle. Wer sich anhand einer dieser Distris mal an Linux gewöhnt hat kommt dann auch mit jeder anderen Distribution klar.

Wenn du mal schreibst wie viel RAM, welche Taktfrequenz und wie viel Festplattenplatz der Rechner deiner Freundin hat und welche Windows Version drauf ist, sowie was sie mit dem Rechner so alles tut kann ich dir sagen ob ein Dual Boot Sinn macht.

Von Wine rate ich tendenziell ab: die meisten Windows Programme laufen nicht oder nicht so richtig unter Wine.. oder laufen ab der nächsten Version des Programms oder der nächsten Wine Version dann nicht mehr...