Über die Risiken des Internet grassieren wahre Schauermärchen. Viele davon beruhen auf Missverständnissen oder Unkenntnis. Wie fast jede Gefahr, verliert auch diese an Schrecken, wenn man die Hintergründe kennt. Mit spezieller Sicherheitssoftware und der richtigen Konfiguration von Betriebssystem und E-Mail-Clients bekommt man sie in den Griff. Das Restrisiko Browser entschärft der Browser-Check auf heise online.
Vor allem Privatanwender fühlen sich durch die scheinbar übermächtige Bedrohung verunsichert: ‘Wenn selbst Computerexperten es nicht schaffen, Einbrüche in ihre Systeme zu verhindern, wie soll ich mich dann dagegen schützen können?’
Doch der Vergleich hinkt - das Risiko einer Firma mit eigener Internet-Präsenz ist ungleich höher als das von Heimanwendern. Das fängt schon bei der Internet-Anbindung an: Der Web-Server einer Firma hat eine feste Internet-Adresse und läuft auf Rechnern, die (zumindest im Idealfall) ständig zu erreichen sind - auch wenn gerade niemand auf dem Server angemeldet ist, dem verdächtige Aktivitäten auffallen könnten.
Privatbenutzer erhalten von ihrem Internet-Provider bei jeder Einwahl eine andere Adresse und sind somit erst mal nicht zu lokalisieren. Dauer-Surfer mit Flatrates sollten aus Sicherheitsgründen gelegentlich die Verbindung kappen. Denn ohne eine feste Internet-Adresse sind zumindest keine gezielten Angriffe gegen eine Person möglich. Erst wenn er beispielsweise eine Web-Seite abruft, übermittelt der Surfer seine aktuelle Adresse an den Betreiber der Site beziehungsweise an den eingestellten Proxy. Wer sich jedoch in Chat-Systemen wie dem Internet Relay Chat (IRC) aufhält, sollte sich bewusst sein, dass er schon bei der Anmeldung seine IP-Adresse Tausenden von Chattern preisgibt.
Der heimische PC soll in der Regel keine Dienste im Internet bereitstellen. Für Firmen ist jedoch gerade die eigene Web-Site das Aushängeschild im Internet. Dabei gilt: Je komplexer das Web-Angebot, desto schwieriger ist es, den Dienst gegen alle möglichen Gefahrenquellen abzuschotten. Auch wenn der eigentliche Angriff dann gegen den Server einer Firma erfolgt, sind im Endeffekt häufig doch wieder Privatanwender betroffen - beispielsweise wenn sich der Einbrecher Zugang zu Kundendaten oder sogar Kreditkartennummern verschafft. Die illegal im Internet gehandelten Kreditkartennummern stammen nämlich in der Regel nicht von Einbrüchen auf Privatrechner, sondern aus den Datenbeständen gehackter Web-Sites.
Und schließlich sind bei den Crackern, wie die ‘bösen Hacker’ in Insider-Kreisen heißen, so genannte ‘Denial of Service’-Angriffe (DoS) gegen Server en vogue, die einzelne Dienste beziehungsweise gesamte Rechner blockieren oder sogar zum Absturz bringen. Für Privatanwender ist ein solches Problem mit einem Neustart (und einer neuen Adresse bei der nächsten Einwahl ins Internet) in der Regel erledigt. Bei Firmen, deren Internet-Angebot längere Zeit nicht erreichbar ist, können DoS-Attacken beträchtlichen finanziellen Schaden anrichten - auch wenn Zahlen wie die 1,2 Milliarden US-Dollar, die die Consulting-Firma Yankee Group für einen verteilten DoS-Angriff (Distributed-DoS) auf Ebay, Yahoo, Amazon & Co ermittelt hat, sicher übertrieben sind.
Doch auch den Surfer zuhause konfrontiert das Internet mit Risiken, die er nicht auf die leichte Schulter nehmen sollte. Vor allem wer wichtige oder vertrauliche Daten wie Homebanking-Software und -Daten auf seinem Rechner aufbewahrt, sollte entsprechende Vorsichtsmaßnahmen treffen, um keine bösen Überraschungen zu erleben.
Die Gefahrenherde lassen sich in zwei Kategorien unterteilen: Entweder laufen auf dem lokalen Rechner Programme oder Systemdienste, die von außen zu erreichen sind und somit einem Angreifer die Möglichkeit bieten, auf dem Rechner des Opfers sein Unwesen zu treiben. Oder es gelangt direkt ‘schädlicher Code’ auf den Rechner und wird dort ausgeführt.
Zunächst zu den lokalen Diensten und Programmen: Auf einem Windows-PC ist normalerweise der ‘Client für Microsoft-Netzwerke’ installiert, über den unter anderem die Datei- und Druckerfreigaben laufen. Wer kein lokales Netz betreibt, kann diese unter Systemsteuerung/Netzwerke entfernen und hat damit eine Sorge weniger. Wer die Dienste fürs eigene LAN benötigt, sollte dort zumindest die Bindung auf den DFÜ-Adapter entfernen oder den Zugriff auf die Verzeichnisse durch ein Passwort schützen.
Ein Personal Firewall aus dem Test in c´t 20/00 ab Seite 126 kann die zugehörigen Dienst-Adressen (Ports) auf dem Rechner völlig sperren oder den Zugriff auf bestimmte, vertrauenswürdige Systeme einschränken. Die Filterregeln beschränken sich dabei nicht auf die Microsoft-Netzwerk-Dienste, sondern können auch sicherstellen, dass beispielsweise ein lokal installierter Web-Server von außen gar nicht oder nur von ausgewählten Adressen aus zu erreichen ist.
Auf Linux-Rechnern laufen per Default eine ganze Reihe von Diensten, die man für einen reinen Surf-PC nicht benötigt. Durch Auskommentieren der Einträge für telnet, ftp und so weiter in der Datei /etc/inetd.conf schließt man diese möglichen Einfalls-Tore. Außerdem kann man einen Linux-Rechner schon mit Bordmitteln zum Firewall aufrüsten [#lit1 [1]].
Unberechenbarer als die Standarddienste sind so genannte Trojanische Pferde oder Backdoors. Man lädt sich ein scheinbar tolles Utility auf den Rechner, das jedoch bei der Ausführung im Hintergrund ganz andere Aktivitäten entfaltet: Ähnlich wie die in der vermeintlichen Siegestrophäe versteckten Griechen öffnen sie Angreifern aus dem Netz Tür und Tor zum betroffenen PC. Das bekannte Back Orifice installiert sich beispielsweise auf dem System und wartet auf Verbindungen von außen. Mit dem entsprechenden Client-Programm kann jeder die volle Kontrolle über den Rechner übernehmen und beliebige Programme ausführen, Dateien versenden und so weiter. Obwohl man historisch korrekt eigentlich von Griechen sprechen müsste, hat sich die Kurzform Trojaner für diese Schädlingsgattung eingebürgert.
Doch Trojaner dienen nicht nur zum Ausspähen oder Vernichten wichtiger Daten. Gewiefte Cracker missbrauchen die Systeme unter ihrer Kontrolle auch als Ausgangsbasis für weitere Angriffe. So kann es durchaus geschehen, dass ein befallener Rechner ohne Wissen seines Besitzers in illegale Aktivitäten verstrickt wird. Die verteilten Attacken gegen Yahoo & Co kamen von Tausenden von Rechnern aus dem gesamten Internet, auf denen Cracker Hintertüren installiert hatten. Gerade dieses dezentralisierte Vorgehen vereitelt gezielte Maßnahmen gegen DDoS-Angriffe.
Die aktuellen Antiviren-Programme erkennen mittlerweile Trojaner und können diese auch entfernen. Neben regelmäßigen Tests des gesamten Systems sollte man deshalb präventiv jedes neue Programm vor dem Ausführen mit einem der in [#lit2 [2]] vorgestellten Antiviren-Tools untersuchen. Doch auch für Trojaner gilt natürlich die Einschränkung, dass Antiviren-Software neue Schädlinge prinzipbedingt nicht zuverlässig erkennt.
Hat man sich doch ein Trojanisches Pferd eingeschleppt, kann ein Personal Firewall das Schlimmste immer noch verhindern: Richtig konfiguriert, blockt er die Verbindungen von außen ab und sperrt damit potenzielle Angreifer aus. Manche schlagen auch gleich Alarm, wenn sich ein Programm als Server installiert. Als Nebeneffekt kann ein Personal Firewall auch die Aktivitäten von Werbe-Robotern entlarven. Immer mehr ‘kostenlose’ Software enthält versteckte Funktionen, die - häufig unbemerkt vom Anwender - Werbebanner auf den Rechner schaufelt.
Auch wenn der Rechner nach außen hermetisch abgeschottet ist - also von dort keine Dienste mehr zu erreichen sind, die sich für einen Angriff (aus-)nutzen lassen -, kann schädlicher Code direkt auf den Rechner gelangen und dort ausgeführt werden. So kann sich der Anwender ein Programm aus dem Internet herunterladen, das mit einem Virus infiziert ist, er kann Liebesgrüße via E-Mail erhalten (ILOVEYOU war streng genommen ein Wurm, siehe Glossar) oder er öffnet mit seinem Web-Browser eine Seite mit bösartigen, aktiven Inhalten.
Anders als bei den oben angeführten Trojanern, die auf Fernsteuerbefehle von außen angewiesen sind, bietet ein Personal Firewall, der Pakete und Netzwerkverbindungen filtert, keinerlei Schutz gegen diese Gefahren. Schließlich kam der schädliche Code ja über eine Verbindung, die der Benutzer explizit selbst angefordert hatte.
Ein fremdes Programm auf dem eigenen Rechner auszuführen, erfordert Vertrauen zum Autor und natürlich demjenigen, der das Programm bereitstellt. Schließlich liefert man seinen Rechner dem Programm vollständig aus. Entsprechend wählerisch sollte man bei der Entscheidung darüber sein, woher man seine Software bezieht. Wer regelmäßig Software aus dem Internet herunterlädt, sollte unbedingt ein Anti-Viren-Programm installieren und dessen Datenbank regelmäßig aktualisieren.
Zusätzlichen Schutz kann eine so genannte Sandbox bieten, in der man Anwendungen ausführt, ohne dass sie gleich Zugriff auf den gesamten Rechner haben. So bietet der eSafe Desktop beispielsweise die Option, bestimmte Dateien oder Verzeichnisse für ein Programm zu sperren (siehe c´t 20/00, S. 126).
Auch E-Mails transportieren neben reinem Text immer häufiger ausführbare Dateien. Für sie gilt im Prinzip das Gleiche wie für heruntergeladene Programme. Weitere Tipps zum Umgang mit E-Mail und Hinweise zur sicheren Konfiguration von E-Mail-Clients gibt der Artikel in c´t 20/00 auf Seite 120.
Eigentlich harmlos sind die so genannten Hoaxes, die vor einem angeblichen Virus warnen und den Empfänger auffordern, diese Mail an seine Bekannten weiterzuleiten. Wer eine solche Warnung empfängt, sollte sich statt dessen bei einem der Antiviren-Zentren [#lit3 [3]] informieren, was es damit auf sich hat. In der Regel erledigt sich das Problem damit von selbst, ohne dass man andere unnötig belästigt oder in Panik versetzt.
Das World Wide Web ist bunter und vielfältiger denn je - doch diese Vielfalt hat ihren Preis. Solange das Web im Wesentlichen aus formatiertem Text mit eingebundenen Bildern bestand, war das Risiko beim Betrachten der Seiten vergleichsweise gering. Mittlerweile kommen jedoch immer weniger Web-Sites ohne eingebaute Skripte, menügesteuerte Java-Applets oder gar multimedial aufbereitete Präsentationen aus.
Doch viele dieser Features erfordern es, dass fremder Code auf dem Rechner der Besucher ausgeführt wird. JavaScript beispielsweise ist eine Programmiersprache, deren Code direkt in Web-Seiten eingebaut wird. Der Browser führt diese Anweisungen aus und kann so zum Beispiel die Eingabefelder eines Formulars überprüfen und den Benutzer darauf hinweisen, dass der Monat nur 30 Tage hat, bevor er eine falsche Angabe an den Server überträgt. Auf der anderen Seite kann der ‘Programmierer’ der Web-Seite auf dem Rechner seiner Besucher Hunderte Fenster öffnen und diesen dadurch nahezu unbenutzbar machen. Die JavaScript-Engine der Browser enthält zwar Beschränkungen, die beispielsweise den Zugriff auf lokale Dateien verhindern sollen. Aber immer wieder werden Fehler in den Browsern bekannt, die es ermöglichen, solche Beschränkungen zu umgehen.
Java-Applets sind richtige kleine Programme, die der Benutzer übers Netz lädt und auf seinem Rechner ausführt. Um zu verhindern, dass solche Applets Schaden anrichten, haben die Entwickler von Java eine ganze Reihe von Sicherheitsmaßnahmen eingebaut. So laufen die Java-Applets in einer Sandbox ab, die ihnen den Zugriff zu Dateien auf der Festplatte verwehren soll. Auch Netzwerk-Verbindungen darf ein solches Programm eigentlich nur zu dem Server aufbauen, von dem es geladen wurde.
Trotzdem gelang es kürzlich dem Programmierer Chris Wilson, ein Applet zu schreiben, das den Rechner eines Netscape-Benutzers in einen frei zugänglichen Web-Server verwandeln kann, der den Zugang zu allen Dateien ermöglicht (Brown Orifice). Die Version 4.75 des Communicators schließt dieses Sicherheitsloch.
Noch schlimmer ist die Situation mit speziellen Browser-Plug-ins zur Präsentation von Multimedia-Inhalten oder ActiveX-Controls. Beide enthalten keinerlei Schutzmechanismen.
JavaScript, Java, ActiveX und Co. lassen sich in den Sicherheitseinstellungen der Browser ein- oder ausschalten. Doch die Sicherheitseinstellungen des Internet-Explorers zum Beispiel sind so kompliziert und schlecht dokumentiert, dass nur wenige Eingeweihte verstehen, was die Optionen im Einzelnen bedeuten.
Natürlich kann man einfach die jeweiligen Voreinstellungen der Hersteller beibehalten. Doch diese sind in der Regel eher daran interessiert, mit ihrem Browser die fetzigsten Web-Sites darzustellen, als das Risiko der Benutzer zu minimieren. Eine gut gemachte Flash-Animation mit Dolby-Surround-Sound aus den Boxen macht einfach mehr Eindruck als eine Fehlermeldung über einen abgeblockten Zugriffsversuch auf eine Datei - mal ganz abgesehen davon, dass man die Sicherheit eines Programms natürlich grundsätzlich nicht beweisen und deshalb auch nicht demonstrieren kann. Bei vielen - vor allem amerikanischen - Firmen gilt folglich immer noch der Leitsatz: ‘Sicherheit verkauft kein Produkt.’
Außerdem gibt es die richtige Konfiguration für alle einfach nicht. Wer seinen Rechner nur zum Spielen benutzt und nebenher ein wenig im Internet surfen will, hat niedrigere Ansprüche an dessen Sicherheit als jemand, der darauf wichtige Firmenunterlagen speichert oder Online-Banking betreibt.
Wer sein Risiko beim Surfen also dem eigenen Sicherheitsbedürfnis anpassen will, muss in den sauren Apfel beißen und die entsprechenden Einstellungen selbst anpassen. Dabei spielt natürlich nicht nur das eventuelle Risiko einer Option eine Rolle, sondern auch die Einschränkungen, die das Abschalten eines Features mit sich bringt. Kann man bei einer E-Mail den Absender noch bitten, die angehängte Word-Datei noch mal als Plain-Text zu senden, findet man mit der Anfrage beim Webmaster einer Site, ob er nicht bei seinen Seiten ganz auf JavaScript verzichten könne, nur selten Gehör. So muss man häufig abwägen, ob man zu Gunsten der Sicherheit ganz auf bestimmte Web-Sites verzichten will. Bei der Suche nach diesem Kompromiss hilft Ihnen der Browser-Check auf heise online [#lit4 [4]]. (ju)
[1] Henning Emmrich; ‘Netzwerk in Ketten’, Linux 2.2 als Internet-Gateway, Router und Firewall; c't 17/99, S. 194
[2] Andreas Marx; ‘Schutz vor Ungeziefer’, Richtiger Einsatz von Antiviren-Software; c't 13/00, S. 114
[3] Links zu Antiviren-Zentren:www.heise.de/ct/antivirus
[4] Browser-Check auf heise online: www.heise.de/ct/browsercheck
[#anfang Seitenanfang]
Die Sicherheitseinstellungen aktueller Browser stellen viele Anwender vor Probleme. Wer weiß schon en Detail, was es mit den Risiken von Java, JavaScript oder ActiveX-Steuerelementen auf sich hat? Oder ob er ‘ActiveX-Steuerelemente, die für Scripting sicher sind’ tatsächlich braucht? Die Antworten gibt der Browser-Check auf heise online.
Die Web-Seiten demonstrieren die einzelnen Funktionen und zeigen dabei sowohl die erweiterten Möglichkeiten als auch das damit verbundene Missbrauchspotenzial auf. Mit einer speziellen Variante von Brown Orifice können Sie beispielsweise am eigenen Browser erfahren, was es mit der Sicherheit der Java-Sandbox auf sich hat. Detaillierte Grafiken illustrieren für Netscapes Communicator und Microsofts Internet Explorer, wie Sie die gewünschten Funktionen ein- oder abschalten können, und schlagen Einstellungen für verschiedene Sicherheitsstufen vor. (ju)
[#anfang Seitenanfang]
Aktive Inhalte: Programme, Skripte und Multimediadateien, die nicht auf dem Web-Server, sondern auf dem eigenen Rechner ausgeführt werden. Dazu gehören ActiveX-Controls, Flash- und Quicktime-Animationen, Java-Applets, JavaScript (JS) oder Visual Basic Script (VBS). Sie sorgen in der Regel für eine ‘buntere’ Darstellung und zur besseren Navigation auf den Webseiten, bringen aber auch ein erhöhtes Sicherheitsrisiko mit sich.
Antiviren-Programm: Software, die gezielt nach Viren, Würmern, Trojanischen Pferden oder anderer Malware sucht und diese unschädlich machen kann. Sie kann sowohl auf Desktop-PCs als auch auf (Mail-)Servern eingesetzt werden. Damit sie ihre Schutzwirkung behält, muss man die eingebaute Datenbank mit Signaturen der bekannten Schädlinge regelmäßig auf den aktuellen Stand bringen.
Backdoor: Software, die es anderen erlaubt, den Rechner fernzusteuern. Ohne Wissen des Anwenders können so Daten gelöscht, kopiert oder verändert werden (Beispiel: Back Orifice).
Content-Filter: Software, die nach bestimmten Regeln Inhalte zulässt oder verbietet. Auf dem Mail-Server filtert sie beispielsweise Viren oder Hoaxes. Als Web-Proxy kann sie beispielsweise aktive Inhalte aus den Web-Seiten ausfiltern.
Hacker, Cracker: Während Hacker durch ihren kreativen Umgang mit Computern Sicherheitslücken aufdecken und für deren Beseitigung sorgen, nutzen Cracker ihre Kenntnisse, um Schaden anzurichten. Script-Kiddies benutzen vorgefertigte Programme, um in fremde Rechner einzudringen.
Hoax: Der Begriff ‘Hoax’ (schlechter Scherz) steht für falsche Virenwarnungen. Oft steht im Schreiben (ohne Attachment), dass ein großer Konzern vor einem neuen, besonders bösartigen Virus warnen würde, der unglaubliche Schäden anrichten kann und man die vorliegende Nachricht an möglichst viele Leute weiterleiten soll. Sie sind mit Kettenbriefen vergleichbar und verbreiten sich nicht selbstständig weiter (Beispiel: Zlatko).
Joke: Spaßprogramm, welches Anwender von der Arbeit ablenkt oder verunsichert, in dem es virentypische Aktionen vortäuscht. Daher werden sie oft auch von Anti-Viren-Programmen entdeckt (Beispiel: Freibier.exe).
Makrovirus: Benutzt Makrosprachen von Anwendungen. Heutzutage sind Makroviren in der Sprache Visual Basic for Applications (VBA) für MS Word und Excel am weitesten verbreitet (Beispiel: Melissa).
Malware: Kurz für Malicious Software), Überbegriff für alle Programme, die vorsätzlich Schäden anrichten. Unterteilt wird Malware auch in Viren, Würmer und Trojanische Pferde.
Paket-Filter: Software, die Netzwerkpakete nach vorgegebenen Regeln filtert, beispielsweise nach Absenderadresse und Port.
Personal Firewall: Software, die den Netzwerkverkehr eines Rechners kontrolliert und diesen vor Angriffen aus dem Netz schützen soll. Hauptbestandteil ist häufig ein Paket-Filter.
Port: Adresse zwischen 1 und 65535, die einer Verbindung zugeordnet wird. Erst mit der Internet-Adresse und dem verwendeten Port kann man einen Dienst erreichen. Definierte Dienste laufen auf festen Ports, Web-Server beispielsweise auf Port 80.
Port-Scan: Systematischer Test, auf welchen Ports Dienste zu erreichen sind.
Sandbox: Abgesicherte Umgebung, in der ausgeführte Programme keinen Zugriff auf kritische Ressourcen wie Systemdateien erhalten.
Trojanisches Pferd: Ein Programm, das sich im Gegensatz zu Viren oder Würmern nicht selbstständig weiterverbreitet, sondern auf die Benutzer als Verbreiter angewiesen ist. Bei der Ausführung installiert sich das Programm heimlich auf dem System und/oder richtet Schaden an. Auch Backdoors gehören zu dieser Malware-Kategorie (Beispiel: AOL4Free).
Virus: Ein Programm, welches sich selbstständig, also ohne Hilfe von ‘außen’, vermehrt, indem es andere Programme, Makros oder Skripte infiziert. Anders als ein Wurm benötigt es einen Wirt, der vom Virus infiziert wird. Klassifizieren kann man Viren nach ihren Lebensbereich in Datei-, Makro-, Skript- und Bootsektorviren oder ihren typischen Eigenschaften, etwa Polymorphie, Retro-Funktionen oder Mass-Mailer. Oft werden auch Trojanische Pferde, Würmer und andere Malware als Virus bezeichnet (Beispiel: Win95/Marburg).
Wurm: Würmer sind Programme, die sich selbst über Netzwerke verbreiten, wobei sie keinen extra Wirt benötigen (Beispiel: ILOVEYOU).
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-287904
Kommentare lesen (12 Beiträge)
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
