Bestmöglicher Schutz vor drive-by-Infektionen
 

Hallo liebe Experten

Wenn man bewusst undurchsichtige Mailanhänge öffnet oder (evtl. dubiose) Programme ausführt, ist das eine Sache, aber wenn man sich nur schon beim Aufrufen einer Website (insbesondere bei einer als "seriös" eingestuften wie kürzlich wetter.com) ohne eigenes Zutun per drive-by Download infiziert, finde ich das schon noch eine Spur heimtückischer und so habe ich mich gefragt, wie man sich bestmöglichst dagegen wehren kann und wollte euch dazu fragen.

Kann man eine einfache Checkliste erstellen, mit deren Hilfe man sich so gut wie möglich vor drive-by-Infektionen schützt? Zum Beispiel:
1) kein Konto mit Administratorenrechten beim Surfen
2) Windows, Browser, Java, Flash, pdf, Plugins, AV aktuell halten
3) Firefox mit Addons AdblockPlus und NoScript verwenden und nur Skripts von unmittelbar benötigten (und bekannten) Domains erlauben. Sorgsam mit dauerhaften Positivlisten umgehen.
4) Browser in einer Sandbox ausführen
Wie würde so eine komplette Liste aussehen? Wieviel Restrisiko würde dennoch bleiben und wie sähe dieses aus?

Wie ist das, wenn auf unbescholtenen Websites von dritter Seite bösartige iframes eingebaut werden? Wäre man konkret im wetter.com Beispiel durch das NoScript Addon auch dann geschützt gewesen, wenn man Skripts von wetter.com selbst (der korrekten Darstellung und Funktionsweise wegen) zugelassen, aber alle anderen Domains geblockt hätte, die Skripts auf der Seite ausführen wollten?

Weiter bin ich mir bewusst, dass wohl eine grosse Mehrheit solcher Infektionen von zwielichtigen bis illegalen Quellen wie Sport- und Serienstreams oder Erwachsenenunterhaltung stammen. Natürlich sind solche User in einem gewissen moralischen Sinne "selbst Schuld", wenn sie sich auf einer dubiosen semilegalen Streamingseite infizieren und es geht mir auch überhaupt nicht um den sorgenfreien Konsum solcher Inhalte. Aber wenn einem daran gelegen ist, dass sich Malware nicht so leicht ausbreiten (und z.B. grosse Botnetze bilden) kann und das Ganze auch noch finanziell lukrativ ist für deren Entwickler, dann sollte man auch verhindern wollen, dass solche "Risiko-User" Freiwild sind für die Angreifer. Denn die Inhalte konsumieren werden sie so oder so, egal ob mit Infektion oder ohne..
Was wäre zum Beispiel ein Ansatz für Streamingwebsites? Mit AdblockPlus und NoScript alles wegblocken, was drumherum so blinkt und leuchtet und Schritt für Schritt nur soviel Skripting (temporär!) erlauben, dass der Stream korrekt wiedergegeben wird? Und würde eine Sandbox eine Kompromittierung des Systems zuverlässig verhindern, falls dennoch Schadcode ausgeführt würde?

Nochmals, es geht mir jetzt hier nur um drive-by-Infektionen. Nachdem ich selbst bei den Updates etwas nachlässig war, hatte es mich auch erwischt und ich hatte mich auf einer gehackten Website in ein richtiges Schlangennest gesetzt. Als ich mich danach etwas im Kollegenkreis umgehört habe, habe ich festgestellt, dass zwar all die Standardsicherheitsregeln (Verhalten bei: unbekannten Mailanhängen, ausführbaren Dateien aus unbekannten Quellen, Phishingversuchen, sicherern Passwörtern, Einstecken unbekannter USB-Sticks, Lockvögeln über Facebook und co, etc etc) alle wohlbekannt waren, aber absolut kein Bewusstsein dafür vorhanden war, dass eine Infektion auch ohne eine eigene direkte aktive Handlung, eben drive-by, erfolgen kann.
Deshalb: Kann man eine kompakte Checklist zusammenstellen, welche diese Gefahr so weit wie nur möglich (auch für "Risiko-User") minimiert?

Hallo Tom86,
man kann das Blocken ja soweit treiben, dass sich der Browser garnicht mehr ausführen lässt.
Nein, Scherz beiseite.
Ich bin der Meinung, dass die Betreiber seriöser Seiten, und nur von denen spreche ich, verantwortlich für die Sauberkeit ihrer Seiten sind und im nachgewiesenen Schadensfall auch schadensersatzpflichtig sein sollten.
Wenn ein seriöser Seitenbetreiber, nur um Geld zu machen, seine Seite voll Werbung knallt und von Hinz und Kunz Banner und Links einbaut, dann nur schreibt "Für externen Müll bin ich nicht verantwortlich.", dann ist das zu wenig.
Seriöse Seiten, auf denen man sich Plagegeister einfängt sind unseriös und sollten solange boykottiert werden, bis sie sauber sind und sauber gehalten werden.
Das gilt auch für wetter.com.

Das meint Volker

:balla: Wenn du mir sagen kannst, wie hoch heute genau das Risiko ist, dann werde ich auch versuchen dir zu sagen, wieviel "Restrisiko" vorhanden ist. Wie es aussieht? Naja, dein PC ist infiziert. :rolleyes:

Das kommt drauf an, wo die bösen Scripts tatsächlich liegen.

Laut Symantec (USA!) sind übrigens religiöse aufgemachte Sites deutlich gefährlicher als Pornosites. Liegt aber vermutlich auch daran, dass hier eine Pornoindustrie (also "Profis") einem (vor allem in den USA) Riesenhaufen an auch kleinen Kirchen und Spinnern gegenübersteht (deren Websites wohl oft leicht zu knacken sind). Man sollte sich also nicht nur auf das scheinbar Naheliegende verlassen.
Allerdings könnte z.B. ein Anbieter, der vor allem Malware verteilen will, vermutlich ausgesprochen gut Nutzer mit Pornos locken.
Ein (angebliches) Nacktbild von Anna Kurnikowa lockt halt doch mehr, als ein (Nackt-)Bild einer Amsel oder das Video "Straßenkehrer in Manhattan".

Wenn du unter "zuverlässig" 100% verstehst, dann nein.
Jede Sandbox hat auch die Chance auf Lücken.

schön. Und ich sage dir, auch die Anbieter unseriöser Seiten sind es. Wäre ja noch schöner, wenn nur seriöse Anbieter haften sollten und unseriöse nicht.
Nur muss der konkrete Schaden und die konkrete Ursache nachgewiesen werden, man muss nachweisen, dass man sein System anerkannt sicher gehalten hatte, dem Seitenbetreiber muss eine Schuld nachgewiesen werden und dann trägst du immer noch auch deinen Teil des allgemeinen Lebensrisikos (je nach Schuld des Anbieters).

In diesem Zusammenhang möchte ich nochmals konkret nach Streams fragen.
Youtube oder ..2k sind ja weit verbreitet. Ich habe NoScript getestet, aber dadurch war ein "normales surfen" durch ständige Abfragen etc. gestört, worauf hin ich dies wieder sein lies. Gibt es hier eine Art Liste an Scripts die als unbedenklich gelten und die man von vornherein freigeben kann, somit nur bei unbekannten nachgefragt/geblockt wird?
Ich schaue mir nun mal gerne Videos sei es auf youtube oder anderen Portalen an, bleibt mir als einziger Schutz dann ein Backup vor dem anschauen eines Streams und ein anschließendes formatieren und wiederaufspielen des Backups?

Hast du NoScript irgendwie nicht verstanden? Du kannst doch NoScript anweisen, dass es Youtube oder andere legitime Seiten permanent erlaubt

Ich habe NoScript schon soweit verstanden cosinus. Allerdings bin ich sehr oft auf neuen Seiten und da ich mir eh nicht sicher sein kann ob eine Seite hundertprozentig vertrauenswürdig ist, ich aber entsprechende Inhalte nutzen möchte (deswegen bin ich ja auf den Seiten), ist für mich persönlich die "Kosten-Nutzenrechnung" als ich das zu letzten mal getestet habe nicht ganz aufgegangen.
NoScript ist eines der Basic add ons, und ich werde ihm auch nochmals eine Chance geben. Aus Fehlern lernt man. Aber da von streams wohl auch eine Gefahr ausgeht und ich auf diese nicht verzichten möchte... naja.

Ja und? Wenn du ständig auf neue Seiten bist dann ist doch gerade dann NoScript sinnvoll.
Oder willst du erstmal gleich jeder Seite alles erlauben? :balla:
Ist doch ziemlich riskant und nervig, außerdem sieht man meistens doch auch schon wenn mit NoScript alles verboten ist ob die Seite brauchbar ist oder nicht. Wenn sie brauchbar ist stellt erlaubt man einfach diese in NoScript wenn es unbedingt sein muss

Auch an sich vertrauenswürdige Seiten können kompromittiert sein. NoScript allein ist daher nicht Zuverlässiges

RICHTIG! Aber wie schütze ich mich nun bei Streams?
Hier insbesondere wenn der Empfang mittels Multicast und dem RTP (Real Time Protocol) Stream realisiert, und per SAP (Service Announcement Protocol) veröffentlicht wird.

Was bitte soll an einem Datenstream so riskant sein? :wtf:
Vor was genau willst du dich da schützen? Bitte mal definieren was dir so durch den Kopf geht oder ob es einfach nur die Angst aus evtl. Unwissenheit ist :pfeiff:
Youtube kannst du ja gern nutzen, aber lass die Finger von diesen anderen dubiosen Portalen. :pfui:

Ich nutzte einen Service der innerhalb eines Netzwerks Streams anbot als mein Rechner anfing verrückt zu spielen. Daher mein Verdacht das dies schuld sein könnte. Und der Service ist zu 100 % LEGAL!
(Könnte Dir auch weitere Infos in einer privaten Nachricht senden.)
Aber vermutlich habe ich mir das doch woanders eingefangen. Stellt sich nur immernoch die Frage was genau an "dubiosen" Streams gefährlich ist?

Ich meinte keine dubiosen Streams sondern dubiose Portale! Webportale die mit Exploits oder Abofallen bestückt sind, gab es alles schon!

OK, ich bin halt kein Experte und wollte einfach für das nächste Mal etwas schlauer sein. Ob nun ein buffer overflow oder etwas anderes Ursache meines Problems war bleibt mir ein Rätsel.

Ja, und am besten man trennt gleich noch alle Netzwerkverbindungen.. Und schreibt seine Emails auf einer Schreibmaschine und versendet sie in einem Briefumschlag. :pfeiff:
Nein, ich war nur auf der Suche nach einer möglichst einfachen und praktikablen Checkliste, die zusammen mit brain.exe aber ohne irgendwelche vermeintliche Rundum-Wohlfühl-Sicherheitssoftware das Risiko minimiert. Würdet ihr meinem Vorschlag im ersten Post soweit zustimmen? Sollte noch etwas Wichtiges hinzugefügt werden oder ist etwas davon völlig sinnlos?

Ist mir nicht klar, warum man implizit Betreiber unseriöser Webseiten von der Verantwortlichkeit für ihren Inhalt entbinden sollte.. Aber anyway, ich bin ja daran interessiert, selbst meinen bestmöglichen Beitrag dazu zu leisten, so einen Vorfall a priori zu verhindern, um dann nicht a posteriori irgendwelche Verantwortlichen zu suchen und zur Rechenschaft ziehen zu müssen.

Finde ja den selbstregulatorischen Ansatz gut, schlampig arbeitende Webseitenbetreiber durch Boykott zu strafen und dadurch zu "erziehen" (sofern dann eine signifikant grosse Anzahl User mitmacht). Aber ob sie danach auch tatsächlich nachhaltig "sauber gehalten werden", merkt man ja erst, wenn wieder etwas passiert, und dann geht das Spiel von vorne los..

Ja klar, ich wollte nur fragen, wie sowas normalerweise mehrheitlich abläuft: Wird gleich das gesamte Paket mit allen Skripten und so auf den Server der gehackten Seite deponiert oder wird einfach ein iframe eingebaut, welches dann weitere Skripte auf einem anderen Server aufruft und so den Download in Gang setzt? Und wäre man in zweiterem Falle geschützt, wenn NoScript nur Skripts der Domain der besuchten Seite erlaubt? (Also dass das iframe zwar die anderen Skripts aufrufen, diese aber nicht ausgeführt werden können..)

Dann habe ich ja nichts zu befürchten :pfeiff: :rolleyes:

Ebenfalls völlig klar, auch hier wollte ich mich nach der empirischen Situation im Moment erkundigen. Ist es für (ausgereifte) Malware zur Zeit kein Problem, eine Sandbox zu erkennen und standardmässig zu umgehen, oder stellt diese tatsächlich ein schwerwiegendes Hindernis dar?

:balla: Aber das ist doch genau der Sinn bei NoScript, dass prinzipiell alles geblockt ist und man mit einer Whitelist selber entscheiden kann, von welchen vertrauenswürdigen Seiten man Skripts akzeptieren will.. Ist doch viel besser so, als wenn man beim wilden Surfen darauf vertraut, dass irgendeine vorgegebene Blacklist, welche ungewollte Skripts filtert, auf dem neusten Stand ist.. Bringt halt ein wenig Mehraufwand, aber so unerträglich viel doch auch nicht (zwei drei Klicks).. Und viele Seiten funktionieren ja auch einwandfrei ohne Skripts. Und sonst ist es doch immer noch besser, nur gezielt diejenigen Skripts zu erlauben, die man für korrekte Darstellung und Funktion auch wirklich braucht, und all die Trittbrettskripter aussen vor zu lassen..

100% ige Sicherheit bekommst Du nirgends.

Wenn Du zB gerne Game of Thrones Staffel 2 sehen willst, weil es einfach genial ist, dann musst Du entweder warten bis es im PayTV läuft oder ...
Bei ... sollte man dann wirklich das Ganze gesandboxt ablaufen lassen, und schrittweise testen, was die Site alles braucht: Script, Flash, aktive Inhalte etc.
Das dann schrittweise "heraufschrauben".

Im Endeffekt muss man sich halt selbst fragen, ob man die ganze Zeit mit 100% Script, allen aktiven Inhalten freigegeben surfen muss oder nicht.
Das Add-On Noscript braucht man dafür noch nicht einmal. Einfach im Browser - ich benutze Opera - die entsprechenden Einstellungen (F12) manuell konfigurieren und dann seitenspezifisch abspeichern.

Ich bin da viel zu faul für.Ich bin auch der Meinung, dass es keine 100% Sicherheit gibt (Pessimist). Daher habe Ich immer, wenn Ich auf "dubiose,unseriöse oder religiöse bzw andere komische Websites" gehe meine Windows 2. Lizenz in der Virtuellen Maschine am laufen. Die kann ich ohne Datenverlust neu aufsetzen und zurücksetzen wie ich will.Solange kein Exploit für die erscheint und der Virus auf meinen echten PC übergreift :O
Dann muss man sich nicht mit Opera,Firefox,Noscript o.ä abmühen. Ich mag sie zwar, aber zu fauuuul Xd

Hallo,

ist ja schon ein recht alter Thread, verstehe aber nicht, warum hier niemand daraufhingewiesen hat, dass ein Werbeblocker sowohl vor infizierten Bannern als auch infizierten Seiten aller Art schützt.

Siehe auch die Anleitung: "Maßnahmen zur Absicherung des Rechners" hier im Trojaner-Board.

MfG DV-Opa

Hm sagmal Opa, wie kommst du zu solchen Aussagen? :wtf:

Infizierte Werbebanner sind ja auch momentan das einizige Problem in der Sicherheit :rofl:
Und weil Werbebanner ja auch 100% zuverlässige Malwareblockierer schützen sie ja auch vor "infizuierten Webseiten aller Art" :lach:

Hallo cosinus,

mit Dir hat ich immer schon die nettesten Diskurse.

Also zum ersten: Der Betreiber einer seriösen Web-Seite hat natürlich kein Interesse seine Klienten zu infizieren. Ist die Web-Seite aber seine hauptsächliche Einnahmequelle, wird er - so wie Ihr beim Trojaner-Board - sie einer Firma wie z.B. Google zur Vermarktung überlassen.

Die blendet dann fleißig Werbung ein, versucht natürlich abzusichern, dass keine Malware dabei ist; aber immer gelingt das natürlich nicht.

Daneben versuchen die Malware-Programmierer, uns durch gehackte Server oder andere Tricks auf infizierte Seiten zu locken.

Dem entgeht man natürlich am elegantesten durch einen Werbeblocker, der einem alles, was über Google u.a. kommt, fernhält.

Ich verwende hier URLFILTER.INI zusammen mit dem Opera-Browser und bin damit bis jetzt recht gut gefahren.

MfG DV-Opa

Ich habe mich für mich entschieden die Unbequemlichkeit die NoScript manchmal auf neuen Seiten bietet zu akzeptieren und dadurch die Unbequemlichkeit von Schadsoftware (oder gestohlenen Daten) zu vermindern.

SaiPiece hat oben ja schon angedeutet dass er aus einer VM heraus surft, und wenn was passieren sollte einfach den letzten guten"Snapshot" aktiviert. Eine VM hat Sandboxie zusätzlich noch voraus dass Schadsoftware in einer VM nicht auf die eigentliche Platte des Rechners zugreifen kann. Jedenfalls nicht ohne aus der VM auszubrechen.

Wer noch "eins draufsetzen" will installiert in der VM kein Windows sondern ein "leichtes" Linux wie z.B. Xubuntu oder Lubuntu. Dann müsste ein Drive by erst mal das Linux infizieren, dann die VM knacken und dann das darunterliegende Windows infizieren... ich glaube nicht dass es so etwas schon gibt...

naja, aber du darfst dann in der vm auch keine shared folders freigeben, da könnte sich malware schon noch reinkopieren.

noscript ist ne nette geschichte, du hast aber das problem, dass du bei einigen seiten zeitweise oder, wenn sie vermeindlich vertrauenswürdig ist, freigaben setzen kannst, aber wie will man als normaler nutzer entscheiden ob die seite nicht über nacht gehackt wurde etc, da müsste man sie bei seiten wie urlquery prüfen, bzw, da solche onlinedienste auch nicht 100 %ig zuverlässig sind, die scripte jedes mal selbst testen,
ich denke daher vms oder ne vernünftig konfigurierte sandbox, wo programm start und internet zugriffe nur dem browser gestattet sind (bei sandboxie zb) sind da eher die bessere alternative.
natürlich nur dann, wenn alle sicherheitslücken von windows und dritt anbieter programmen geschlossen sind, dann laufen drive by's sowieso zu 99 % ins leere, denn die benötigten lücken sind gar nicht mehr offen.

Ich habe hier meine Linux Kiste, Firefox drauf mit NoScript und AdBlock Plus.

Ich muss ehrlich sagen dass ich die Liste die Noscript so ausspuckt (wie viele andere Seiten alle auf einer bestimmten Seite Skripte ausführen wollen) sehr aufschlußreich. Manchmal entscheide ich mich nach Ansehen der Liste dass ich auf diese Website nicht unbedingt drauf muss.

Außerdem sind manche Varianten der Bannerwerbung ziemlich lästig, manchmal schwebt einem ein Werbebanner über dem Bildschirm hinterher.. dahin wo man den Text lesen will... NoScript blockt das alles.

Daher ist es für mich den etwas reduzierten Komfort auf manchen Seiten wert... 100%ige Sicherheit gibt es nicht aber mit etwas Aufwand kann man schon einiges machen.

Eine VM ist relativ viel Aufwand, aber da ich jetzt hier sowieso eine habe kann ich verdächtige Dateien oder Websites bei Bedarf dort gleich untersuchen... (ohne Bedarf bleibe ich dem Zeug einfach fern...)

hi,
eben, du kannst selbst entscheiden, was du freigeben willst, wenn du dem gewachsen bist, ist noscript ok.
aber wenn du nicht weist welche scripte legitim sind und welche nicht, wirst du, so denke ich, im endefekt alles freischalten, wenn seite x nicht nach wunsch funktioniert
sieht man ja zb auch hier im plagegeister und logfiles bereich häufig, die leute haben ja firefox mit noscript, aber wenn der film auf kinox... gesehen werden muss, wird halt freigeschalten und die infektion ist vorprogramiert.
deswegen sag ich ja, der beste schutz ist erst mal das gepatchte system, darauf kann man dann aufbauen.

Absolut. Noscript als Ersatz für Patches oder brain.exe ... geht gar nicht.

schön das wir uns einig sind :-)

Ohne NoScript will ich aber nicht mehr surfen ;)

Genauso schön find ich den Einsatz von Flashblock, Adblock+ und auf manchen Rechnern auch die Hostsdatei von MVPS

Geht mir auch so.. auf manchen Websites kriege ich fast eine Art Kulturschock wenn ich mal von einem Rechner ohne Adblock + NoScript aus drauf unterwegs bin..

Da blinkt es, Banner flitzen, Sachen bewegen sich, Geräusche gibt es.. also mich macht das ganz kirre..

Ja und ruckzuck ist dein Rechner ja durch die Hauptgefahr Nummer 1 im Internet (den Werbebannern) infiziert http://cosgan.de/images/smilie/konfus/a080.gif :D

Nutz du gar nicht Flashblock? MVPS Hosts kennst du auch nicht? ;)

wieso brauchst du extra flashblock, müsste adblock doch sowieso schon blocken :-)

ähm eigentlich ja schon, aber kann ich bei Adblock auch einzelne Flashelemente erlauben? Das war nach meinem Eindruck bisher besser bei Flashblock

hmm das weis ich nicht 100 %ig glaub aber nicht.

Die Sache mit der .hosts Datei hatte ich eine Zeit lang aktiv.. bin davon aber wieder weg, NoScript und Adblock reichen.

Zum Blinken, Blitzen, Werbebannern die sich bewegen: da geht es mir weniger um die "Gesundheit" meines Rechners sondern um meine geistige Gesundheit...

Nicht dass ich am Ende mit nem spitzen Zahnstocher in der Hand auf die Straße laufe und Leute ersteche oder sowas... :crazy:

Hallo,

mit NoSkript kann man vielleicht selber als sicherheitssensibler Benutzer zurechtkommen, einem normalen Internetbenutzer ist das aber schwer zu verkaufen, denn woanders z.B. im Internetcafe ist das nirgendwo der Standard !

Eine Sandbox gibt's ja unter Windows 7 vom Hersteller für den IE. Trotzdem wird im Trojaner-Board von Drive-By-Infektionen berichtet. Also für mich bleibt hier nur der URL-Filter ("Werbeblocker") als effektive Schutzmaßnahme.

Gruß DV-Opa

nö,
wie gesagt, updates und sandboxie, url filter können nur ihm bekannte urls blocken, wenn du aber keine offenen sicherheitslücken anbietest laufen die angriffe zum größten teil ins leere, da exploit kits meist nur geschlossene lücken nutzen.

wobei man natürlich sagen muss, das die autoren solcher packs, immer schneller arbeiten, wie man zb bei blackhole und java sehen konnte, im september. wo sie ein passenes exploit in ihr pack eingebaut haben, bevor java das update draußen hatte, ist aber (noch) eher selten

Hallo,

nach einer Untersuchung der Fa. Microsoft aus 2011 gehen nur 5% der Malware-Infektionen auf das Ausnutzen von Sicherheitslücken zurück.

Hier im Board wird auch öfter berichtet, dass, obwohl lfd. geupdated wurde, trotzdem recht simple Trojaner zugeschlagen haben.

Die Infektionsursache liegt also wohl doch woanders.

Gruß DV-Opa

Und welche Sicherheitslücken hat M$ da berücksichtigt? Nur seine eigenen?
Oder auch die in Software von Adobe und Oracle? :pfeiff:

hi
was ist lfd :-)
und was meinst du mit simpel.
wenn du dir zb gvu, BKA und andere ransom ware anguckst, die werden alle über sicherheitslücken verbreitet auch geschichten wie zero access und andere rootkits werden häufig über sicherheitslücken verbreitet
das es natürlich andere infektionswege gibt, ist klar, aber in diesem thema gehts doch um drive by dachte ich :-)
auch wird man sicher statistiken anderer hersteller finden, die andere angaben machen.
hier der bericht:
http://www.com-magazin.de/sicherheit...he=1&tx_ttnews[backPid]=203&cHash=8c1136a663c0af7e89b288b20f682c62
und man sollte nicht außer acht lassen, dass sich die infektionswege seit dem verschoben haben können, dieses jahr ist zb infektion via mail, laut unseren erfahrungen und berichten einiger sicherheits firmen wieder im vormarsch.

Eher Mentalitätssache. Meine Mutter (fast 70, "Nur" Hausfrau ) kommt mit NoScript prima klar, mein Bruder ( Anfang 40, Ingenieur ) gar nicht :pfeiff:

Daher empfehle ich den Leuten immer das auszuprobieren.

Laut MS Statistik ist der IE auch der sicherste Browser.. weil weniger Sicherheitslücken gemeldet werden :pfeiff: .. dass er auch der am häufigsten angegriffene Browser ist wird dabei "übersehen"...

ist ja klar, er ist ja auch der am häufigst genutzte browser
ist ja genauso wie von firefox nutzern häufig übersehen wird, das der ff auch nicht grad wenig lücken jedes jahr zu verzeichnen hatt, ist. denke mal ms hat in den letzten browser versionen einiges aufgeholt.

Hallo,

kann leider nicht mehr sofort antworten, da ich Fußball (Dortmund -Manchester) schaue und DO vielleicht gewinnt.

Gruß DV-Opa

Wieviele Lücken ist ja im Prinzip egal, man darf nur nicht das vernachlässigen, wann die Updates für den Browser herauskommen, wenn Fehler bekannt sind - abgesehen von der letzten gravierenden IE-Lücke macht M$ das immer am Patchday, also 1x monatlich

Zudem ist der IE ja auch etwas tiefer im OS drin als alle anderen Browser :pfeiff:

Und dann muss man halt sagen dass den Leuten nicht immer klar ist dass man den IE aktuell halten muss, selbst wenn er nicht als Browser verwendet wird.

Bis vor relativ kurzer Zeit war nicht mal mir das klar.. erst seitdem mir auffiel wie viele Anwendungsprogramme den IE benutzen... (dank diverser Experimente mit Wine fiel mir das überhaupt erst auf)..

ja, natürlich.
ich meinte nur das häufig aufkommene argument, dass ein browser wechsel, so hört es sich zumindest häufig an, einem von sämmtlichen sicherheitsproblemen befreit.

ja, das ist leider genau so ein Quatsch wie "nimm Virenscanner xyz denn abc taugt garnix und du hast Ruhe" :stirn:

Zu NoScript kann ich nur folgendes Video empfehlen:

Hallo,

Einfach zu erklären:

Deine Mutter (fast 70) merkt gar nicht, dass JavaSkript abgeschaltet ist, Dein Bruder als anspruchsvollerer Benutzer schon.

Gruß DV-Opa (Anfang 60 Diplom-Mathematiker)

kennst du seine mutter persönlich, oder wie kannst du dir ne meinung über ihren anspruch bilden...

Wobei die Erklärung schon stimmt. Sehe ich selbst bei meinen Bekannten/Verwandten. Eine ältere Person kennt in der Regel nicht alle Facetten und vermisst es daher auch nicht. Wobei dass auch Vorteile hat in diesem Fall :)

Die Macht ist stark.. in meiner Familie :D ... du müsstest da mal meine Oma erleben.

Jetzt bin ich aber neugierig :D

Über die in Spanien gefasste Ukash-Bande wird berichtet, dass deren Trojaner über Internetwerbung verteilt wurde. Bestätigt mich in dem schon früher empfohlenen Vorgehen, dass der bestmögliche Schutz vor Drive-by-Infektionen ein Werbeblocker ist !!

Bestmöglicher Schutz.. sehe ich etwas anders.

Allgemein an erster Stelle: Brain.exe ... hilft allerdings zugegebenermaßen bei gekaperten seriösen Seiten nicht viel

Zweite Stelle: System immer aktuell halten. Ohne "exploit" kein "drive by".

Dritte Stelle: Skriptblocker. Ohne Skripte funktioniert soweit ich informiert bin kein bisher gefundener "drive by".

Erst an vierter Stelle kommen bei mir die Adblocker.

An Fünfter dann die AV Software....

hi,
und du musst noscript halt auch konfigurieren, iframes werden, laut meiner letzten instalation zb nicht autom geblockt, wenn die infektion über ein solches kommt ists blöd :-)

Tatsächlich... gerade nachgesehen... womit wir wieder bei Brain.exe sind: auch brain.exe muss ständig aktuell gehalten werden.....

Hehe, ich bin eh nicht von Scriptblockern überzeugt, aber das hatten wir ja schon alles :-)

Ich weiß.. du meinst dass ich mit Skriptblockern zu oft das Kind mit dem Bade ausschütte.. hatten wir. Ähnlich kann man aber gegen Adblocker diskutieren: kostenlose Inhalte wird es bald kaum noch geben wenn alle mit Adblockern unterwegs sind.

Ich verwende die auch nur weil viele Werbeeinblendungen schlichtweg zu störend wurden. Statt braver "Bandenwerbung" aggressive Fenster die einem "hinterherlaufen" akzeptiere ich einfach nicht.

Hi,
verstehe ich alles, ich habe prinzipiell nichts gegen werbung, aber es muss Maßvoll sein.
Bei den Scriptblockern is das Problem aus meiner Sicht, dass du als Nutzer, und damit meine ich dich nicht persönlich, gar nicht entscheiden kannst, ob die Seite sauber ist, und du dann, wenn nötig, doch wieder die Seite freigibst und den schadhaften Inhalt lädst.

Die Diskussion hatten wir schon.

Für mich wird nur durch einen Skriptblocker überhaupt sichtbar wenn auf einer Website Skritpe von 10- 20 anderen Websites ausgeführt werden wollen.

Für mich als User stellt sich dann die Frage ob der Betreiber der Website auch an meine Sicherheit als Besucher derselben gedacht hat...

Bzw. ob ich mir diese Website in Zukunft überhaupt noch antun will.

Außerdem kann man bestimmte Tracking Server damit recht gut blocken... Facebook ist ja nur einer unter vielen...

iframes an sich sind ja nicht böse, wird auf vielen Seiten vollkommen normal und für "guten" Content eingesetzt. Man könnte und sollte vielleicht iframes vermeiden bzw. ersetzen, wenn man Webseiten neu konzipiert, aber als Client sie grundsätzlich zu blockieren ist schon eher gaga. iframes die fremden Content (andere Domain, andere IP-Adresse) wiedergeben, die könnte man aber blockieren, auch wenn selbstverständlich so ein Konstrukt auchnicht zwangsweise "böse" ist.
Viel schlimmer finde ich die unsägliche Whitelist in NoScript.

Ich schon. :kaffee: Führt manchmal zu dem Ergebnis, dass Kunden mich etwas seltsam ansehen, wenn sie mir von irgendeiner Werbung erzählen. :stirn:
Und trotzdem lasse ich manchmal temporär Werbung zu, um den Seitenanbieter zu helfen.
Allerdings wenn bei großem Fenster der echte Seiteninhalt von einer Werbewüste umrahmt wird, die auch ohne sichtbaren Inhalt bei einem Klick ins scheinbare Leere auf den Werbeanbieter weiterleitet oder ähnliches, dann wird spätestens jetzt eben alles blockiert.
Hätten sie maßgehalten, hätten sie von mir was gehabt.
Naja, ist wohl nur wirklich relevant, wenn jemand jede Seite wieder freigibt. Ansonsten ist ja jedes blockierte Script mit schadendem Inhalt doch eine gute Sache.

Prinzipiell richtig, aber ich hatte vor kurzem zb eine Seite, die Via iframe einen infizierten Werbeserver aufruft der dann den Trojaner Fareit nachläd, deswegen der Hinweis.
Wieder richtig, deswegen meine ich ja, Maßvolle Werbung, mit kleinen Bannern etc.
Jede Seite muss sich ja Finanzieren, wir machen das über Spenden, andere über Werbung.

Nemen wir einfach mal einen Nutzer, der sucht ein video oder sonst was, besucht eine Seite, diese Zeigt an, Inhalt wird geladen, es passiert aber nichts.
Dann werden einige sicher trotzdem die Seite zulassen, denn sie sind ja gewohnt, dass sie im Noscript Einschrenkungen haben, und sie können nicht unterscheiden, ob diese Einschrenkungen, die ja häufig auftreten, berechtigt sind oder nicht, dazu müssten sie die Seite ja einer Prüfung unterziehen.
Deswegen denke ich, dass sie mit einer Sandbox besser fahren.

Ich glaube wir haben da aneinander vorbeigeredet. Du sprichst von noch besseren Lösungen und ich spreche von Lösungen die besser als die schlechteste Lösung sind.
Die schlechteste "Lösung" ist die, dass jeder alle Scripte zulässt und "heder" eine böse Seite mit Schadcode besucht und diesen bekommt.
Die "bessere Lösung" von der ich sprach ist eben eine Scriptblockade, wodurch eine größere Anzahl von Nutzern diesen Schadcode eben nicht bekommt, ein Teil aber schon, weil er "haben will" und Scripts ohne Rücksicht auf Vorsicht und Vernunft eben zulässt. Weniger infizierte PCs sind besser als alle PCs infiziert.
Du willst aber das nur Optimum - kein infizierter PC.
Irgendwie bezweifle ich, dass die Mehrheit der Nutzer mit einem Scriptblocker umgehen können wird, ebenso wie mit einer Sandbox wie Sandboxie. Nur eine verlässliche automatische und zwingende Sandboxfunktion im Browser oder Betriebssystem dürfte da helfen.

Hi,
ja, ich spreche von der besten Lösung, die, mit den aus meiner Sicht einfachsten Mitteln zu erreichen ist.
Man kann natürlich auch innerhalb der Sandbox Script und Werbeblocker einsetzen, womit diese noch wirksamer werden.
Ich kann natürlich nicht prüfen, ob Sandboxie langfristig genutzt wird, aber das was ich an positiven Rückmeldungen bekomme, lässt hoffen.

Du hast natürlich recht, man muss schon eher ansetzen, im System bzw browser, damit das ganze vollkommen umbemerkt vom Nutzer stattfindet.
Microsoft ist da ja mit Windows 8 langsam dabei, Chrome, Adobe etc, auch, ich denke, die Entwicklung wird ddahin gehen.

Aber es währe ja auch schon mal ein Anfang, wenn die Hersteller endlich mal durchweg gute Updater hingekämen.
Braucht man hier nur in die Logs zu schauen, um zu sehen, wie alt häufig Software ist, Sun Java ist da nur ein trauriges Beispiel.

Bei den Browsern ist da auch wieder Chrome gut dabei, da werden die Updates schnell eingespielt.

Java ist nicht mehr Sun :blabla:

Und mit den guten "Updatern" ist das auch so eine Sache. Was ist gut?
Alles zwangsweise automatisch im Hintergrund? Wäre für viele gut, für viele absolut nicht gut.

Na solange du den Updater konfigurieren kannst, ist doch alles io.
Das es ohne zwangsupdates häufig nicht funktioniert, sehen wir doch hier zu genüge.

Ich gehöre auch zu den postiven, was heißt, nur noch mit Sandboxie im Web unterwegs.
Mit Thunderbird habe ich es auch getestet und dann festgestellt, das Dokumente aus Mail-Anhängen dann ja automatisch auch in der Sandbox geöffnet werden.
So weit so gut, was aber würde passieren, wenn ich einen verseuchten Mail-Anhang im Thunderbird, der in der Sandbox läuft, öffnen würde?
Bleibt der dann auch im Sandkasten?

Hallo,

will ja nicht rechthaberisch sein, aber inzwischen kann man es ja überall (FAZ, Heise, usw.) nachlesen, dass Drive-By-Infektionen nicht durch die primären Web-Seiten, sondern durch gekaperte oder über Umwege geschaltete Werbeeinblendungen verursacht werden.

Siehe hierzu auch meine Beiträge auf Seite 2 und 3 diese Threads. Ein Werbeblocker also z.B. Firefox-Adblock-Plus ist also unverzichtbar. Opera mit urlfilter.ini blockt nicht alles und wird auch nicht ständig aktualisiert.

Gruß DV-Opa

Nun ja, AddBlock Plus sollte eigentlich bei jedem FF-Nutzer zur Grundaustattung gehören.
Ich habe letztens einfach nur mal so zum Spass einige Seiten mit dem Internet Explodierer angeschaut und teilweise auf den ersten Blick garnicht wieder erkannt.
Da ist mir erst so richtig bewusst geworden, wie effektiv der Addblock Plus doch arbeitet.
Unter normalen Umständen würde ich ja sogar einige unaufdringliche Werbung zulassen, was damit ja auch möglich ist.
Aber solange Malware auch über Werbung verteilt wird.....keine Chance für die Werbenden, so leid mir das tut (für die Ehrlichen)

Hallo zusammen

Also ich benutze Exploit Shield als zusätzlichen schutz vor drive-by-infektionen

kanns nur empfehlen :D

Paketmanager.. wie bei Linux....

Ich weiß.. lasst mich wenigstens träumen..,.... :pfeiff:

Hallo,

genau davon würde ich abraten, da jemand der Malware plazieren will, dieses unnötige Engegenkommen gezielt ausnützen kann.

Viele Grüße

DV-Opa

Ist richtig. Und genau deshalb ging mein Post ja auch weiter:

...wird das Thema aktuell noch verfolgt?

Hier wurden ja schon recht radikale Ansätze wie "keinen Browser verwenden" bis hin zu "Internetverbindung kappen" vorgeschlagen, so daß auch ich einen ungewöhnlichen, sehr effektiven, aber auch Konfigurationsintensiven Ansatz, vorstellen möchte:

Der EWF (enhanced write filter) ist ein MS Dienst aus der Win XP embedded edition, der auf Windows XP Systemen und (wahrscheinlich, aber nicht selbst getestet) auf Windows 7 Geräten zu nutzen ist.

Mittels des EWF wird die gesamte Systempartition C: schreibgeschützt und sämtliche Anwendungen laufen nur noch virtuell im Arbeitsspeicher.
Dies schützt selbstverständlich nicht vor einer Infektion, aber nach jedem Neustart ist das System wieder so "jungfräulich" unversehrt wie zum Zeitpunkt der "Fixierung".
Es können keine dauerhaften Änderungen auf C: vorgenommen werden, weder durch bewußte Installation von Software etc. (z.B. zum Testen) noch ungewollte Änderungen durch Schädlinge.

Wenn tatsächlich Änderungen gewünscht sind (Neuinstallation, Updates, Systemänderungen), so kann dieser Schutz temporär deaktiviert und die Änderungen übernommen werden. Anschließend ist das System wieder komplett geschützt vor Veränderungen.

Ebenso könnte man diesen Schuzu in der Form nutzen, daß das System in der Regel ganz "normal", also ohne EWF, arbeitet und nur bei "besonderen Surf-Vorhaben" könnte diser Schutz aktiviert werden.
Das würde aber bei jedem "normalen Surfen" weiterhin die Gefahr der drive-by Infektion beinhalten.

Ich persönlich nutze diese Form des Schutzes seit über 2 Jahren sehr effektiv.
Allerdings setzt es einige grundsätzliche Überlegungen bei der Installation und späteres "konsequentes Arbeiten" voraus.

Weitere Infos z.B. hier: http://www.trojaner-board.de/137609-...nderungen.html
oder auch per PM an mich.

Plugins wie NoScript nutzen um ungewünschte Java-Scripts zu blockieren. :)

@jrahe: ich kannte die Möglichkeit nicht und finde sie hochinteressant.

Allerdings eher für Schulungs-PCs die aufgrund der zu schulenden Software auf Windows laufen müssen. Fürs Surfen halte ich eine Linux Installation für viel einfacher...

Für deinen Anwendungsfall macht sie natürlich auch Sinn, unter Linux kann man für SSDs/ USB /andere Flash-Speicher bereits spezielle Dateisysteme einsetzen die diese schonen.

Hallo mort,
...jep, die Variante mit Plugins wie "NoScript" ist bekannt.
Sie versucht die Infektion durch Nicht-Zulassen der Scripte zu verhindern. Ob dieses zu 100% schützt weiß ich nicht und wurde hier im Thread ja auch schon diskutiert.

Ich wollte hier einmal eine bisher noch nicht genannte Alternative vorstellen, bei der es nicht um das Verhindern einer Infektion geht, sondern um das sofortige und komplette Entfernen der Spuren einer solchen eventuellen Infektion bei jedem Neustart.
Bei jedem Start des Systems wird quasi ein "sauberes" Image wieder aufgespielt.

Naja, sauber natürlich nur so lange wie nicht unbedachter Weise einmal gefährliche Änderungen mit übernommen worden sind.

Dafür sollte man neben der normalen Datensicherung auf externen Datenträgern auch noch ein/zwei gute Images für die echte Systemwiederherstellung in petto haben. :)


====================================

Hallo W_Dackel,
...auf Grund des Konfigurationsaufwands ist der EWF sicherlich eher im Schulungsbereich und bei ähnlichen Zielgruppen anzufinden, wenn überhaupt...! (s.a. Vergleich zu PC-Sheriff).

In meinem Fall war es "damals" beim Lautlos-PC vorrangig dazu gedacht, um die Schreibzugriffe auf das System C: auf dem USB-Stick zu reduzieren.

Allerdings habe ich den EWF inzwischen auch als allgemeinen Schutz meines PC vor Fragmentierung, meiner eigenen Schusseligkeit bei voreiliger und unbedachter Installation von kleinen und großen Programmen sowie eher nebensächlich vor den Infektionsgefahren durch Malware kennen- und schätzen gelernt.

Natürlich läuft bei mir zusätzlich ein aktuellen Virenscanner (avast!) auf einer separaten Partition, so daß trotz des permanenten Schreibschutzes auf C: die Virenkennungen und Programmupdates von avast! immer aktuell sind.

Die Konfiguration eines solchen Systems ist sicher etwas komplexer als ein Firefox-Plugin "NoScript", dafür dann aber auch hocheffektiv... ;)

Zur INFO:

Da ich den bestehenden Post #71 nicht mehr editieren kann, hier als kurze Notiz der Verweis auf den Thread http://www.trojaner-board.de/138096-...sandboxie.html

Dort wird der Einsatz von EWF in Kombination mit der zusätzlich installierten Sandbox von "Sandboxie" beschrieben...

Eine weitere Optimierung bei dem Versuch des "bestmöglichen Schutzes vor drive-by-Infektionen"!
=> jetzt sind nicht nur die Daten auf C: schreibgeschützt (durch EWF), sondern bei Nutzung des Browsers in der Sandbox auch die Daten der anderen Partitionen weitesgehend geschützt. :)