2. Trojanische
Pferde
Ein Virus richtet
meist sehr schnell
Schäden an, die
der PC-Nutzer schnell
entdeckt, Trojaner
arbeiten aber im
Hintergrund und
werden oft sehr
spät oder manchmal
auch gar nicht entdeckt.
Ein Trojaner mit
Remote-Funktion
erlaubt dem Eindringling
vollständigen Zugriff
auf den infizierten
Rechner.
Im Gegensatz zu
Würmern verbreiten
sich Trojaner nicht
von selbst, eine
Infektion wird manuell
durchgeführt. Man
muss also das Opfer
dazu bringen, sich
selbst zu infizieren,
was auf verschiedenen
Wegen erfolgen kann.
Während früher ein
Trojaner hauptsächlich
heimlich mit anderen
Applikationen mitinstalliert
wurde, vielleicht
mit einem Spiel
oder einem angeblich
so nützlichen Tool,
welches per E-Mail
versendet wurde
oder von diversen
Webseiten herunterzuladen
war, versucht man
heute auch, sich
Sicherheitslücken
zu Nutze zu machen,
um mit Hilfe eines
Wurms und Skripten
einen Trojaner aus
einer Quelle im
Web nachzuladen
und zu installieren.
Das Opfer bekommt
die Infektion nicht
mit, da sich ein
solcher Trojaner
tarnt (daher der
Name). Einen Trojaner
kann man oft nicht
als laufenden Task
im Task-Manager
erkennen. Vielfach
hat er nicht einmal
mehr eine .exe oder
.com Dateiendung.
Bekommt man ihn
als Task dann doch
angezeigt, hat er
oft einen ähnlichen
Namen, wie ein notwendiger
Windows Dienst.
Wer wissen möchte,
wo Windows Programme
beim Start lädt
werden, kann dies
hier erfahren.
Die Arbeitsweise
eines Trojaners:
Ein Trojaner besteht
aus 2 Segmenten,
Client und
Server. Wenn jemand
beabsichtigt, auf
einen fremden PC
zugreifen zu wollen,
so muss er zuerst
den Server dort
installiert bekommen.
Mit den verschiedenen
Trojanern sind auch
die verschiedensten
Möglichkeiten offen,
was mit dem PC eines
Opfers angestellt
werden kann. Die
Liste reicht über
Passwörter ausspähen,
einen Screenshot
anfertigen, dem
Opfer Textbotschaften
senden, Dateien
verwalten, erstellen,
verändern oder löschen
usw. Der Fantasie
sind da keine Grenzen
gesetzt. Nicht zuletzt
sind viele Trojaner
als Fernwartungs-Tools
für den PC entwickelt
worden.
Hier ist ein Screenshot
von der Oberfläche
eines vor einiger
Zeit recht beliebten
Trojaner-Clienten:
Während Trojaner
der älteren Generationen
rudimentär dazu
geschaffen waren,
einfach einen PC
fernzusteuern, ist
es heute eher Ziel
dem infizierten
Rechner unbemerkt
Aufgaben ausführen
zu lassen.
Bei Bedarf wird
ein infizierter
Rechner weitere
schädliche Software
mit den gewünschten
neuen Funktionen
einfach aus dem
Internet nachladen.
So kann ein Rechner
vielleicht heute
dazu benutzt werden,
gespeicherte Passwörter
zu versenden und
sich am nächsten
Tag einem Botnetz
anschliessen, um
gemeinsam mit vielen
anderen Rechnern
ferngesteuert Millionen
Phishing-E-Mails
zu verschicken.
Gefahren
innerhalb Tauschbörsen
Seit einiger Zeit
nimmt die Verbreitung
von Würmern auch
innerhalb Tauschbörsen
zu. Würmer nach
Art des im April
2004 aufgetauchten
"Phatbot", können
in P2P-Netzwerken
recht effektiv verbreitet
werden und sind
auch für Anti-Viren
Software nur schwer
auszumachen, da
er Rootkit-Funktionen
für Windows (Process
Hide) mitbringt,
um seine Existenz
zu verbergen und
sehr Variantenreich
ist. Mit Würmern,
wie "Phatbot", die
unbemerkt, Hintertüren
eines infizierten
Rechners öffnen,
lassen sich fremde
Systeme fernsteuern,
die dann zu tausenden
als "willenlose
Bots" in einen IRC-Botnetz
ferngesteuert, ihre
zerstörerischen
Aktionen durchführen
können.
Noch dazu ist die
Vielfalt der Funktionen
dieses Wurms nahezu
unermesslich und
neue Exploits können
jederzeit nachgeladen
werden. Ebenso erkennt
er das Vorhandensein
diverser Debugger
zuverlässig. Zudem
läuft der Schädling
auch unter Linux.
Schließlich können
sich die einzelnen
Clients in einem
Peer-to-Peer Netzwerk
organisieren und
den Verkehr SSL-verschlüsselt
übertragen.
Der Wurm konnte
sich über eine Sicherheitslücke
in ungepatchen Systemen
sehr rasch verbreiten,
ein Beispiel dafür,
wie wichtig es ist,
nicht nur
Antiviren-Software
aktuell zu halten,
sondern auch den
Rechner regelmässig
mit
Sicherheitsupdates
zu versorgen und
sich bewusst zu
sein, dass jeder
Einzelne auch eine
gewisse Verantwortung
im Netzwerk "Internet"
trägt.
3. Sicherheitsrisiken
durch AktiveX,
VB-Scripte &
JavaScript
ActiveX Controls
In unserer multimedialen
Welt sollten die
Webseiten mit dem
Internet Explorer
noch schöner, interessanter
und vor allem interaktiver
und bewegter werden.
Man erfand dafür
die ActiveX-Controls.
Das sind ausführbare
Programme, mit denen
sich verschiedene
Dinge realisieren
lassen - und das
direkt auf dem heimischen
PC. Eine bekannte
AktiveX-Anwendung
ist etwa das Plug-in
für Macromedias
Flash-Player (sollte
auf keinen Rechner
fehlen), das Animationen
in Webseiten ablaufen
lässt, so wie auch
der animierte Text
am Anfang dieser
Seite. Auch Online-Virenscanner
bedienen sich der
AktiveX-Technik.
Der Nutzer ist,
einer Webseite nichts
ahnend vertrauend,
nach der Installation
eines boshaft eingesetzten
ActiveX-Elementes,
dessen Aktivitäten
praktisch schutzlos
ausgeliefert, denn
im Gegensatz zu
Java-Applets, die
nur in einer geschützten
Umgebung (Sandbox)
ablaufen, dürfen
ActiveX-Controls
Programme aufrufen
und auf Dateien
und Systemfunktionen
zugreifen. Einfach
audgedrückt bekommt
ein AktiveX-Element
die gleichen Rechte
zugewiesen, wie
der angemeldete
Windows-Benutzer
des Computers. Viele
Dialer installierten
sich bereits auf
diesen Wege.
Eine grosse Zahl
der Sicherheitslücken
des Internet Explorers
haben ihre Ursache
in AktiveX! Der
Logik nach sollten
AktiveX daher eigentlich
deaktiviert werden!
Allerdings entgehen
einem dann auch
verschiedene Animationen
oder unter Umständen
werden ganze Webseiten
nicht mehr angezeigt.
Um das Vertrauen
zu AktiveX zu erhöhen,
hat Microsoft die
Zertifikate eingeführt,
welche die Herkunft
der Anwendung bestätigen.
Ein Zertifikat sagt
jedoch nichts darüber
aus, was die Anwendung
eigentlich macht
und ob sie riskant
ist. Trotzdem sollte
man sich ein solches
Zertifikat unbedingt
ansehen, will man
etwas installieren
und ist sich nicht
wirklich sicher.
Misstrauisch sollte
man auf jeden Fall
sein, wenn Hersteller
und Zertifizierungstelle
identisch sind.
Hier bescheinigt
im Grunde der Programmierer
der Anwendung seine
eigene Identität.
Installierte AktiveX
befinden sich im
Verzeichnis "Downloaded
Program Files" im
Windows Verzeichnis.
Ein Doppelklick
auf die Datei zeigt
von welcher Webseite
sie stammen, mittels
Kontextmenü lassen
sie sich löschen.
Tipps
Ist die Standardeinstellung
für Sicherheit
des IE (Internetoptionen
-> Sicherheit)
aktiv, wird
eine Warnmeldung
vor dem Download
von AktiveX-Steuerelementen
eingeblendet.
Dort kann man
sich mit einem
Klick auf den
Link des Herstellernamen
das Zertifikat
ansehen.
Niemals leichtfertig
auf: "Inhalt
von <Name> immer
vertrauen" klicken.
Dann wird das
Zertifikat dauerhaft
installiert.
Hat man irrtümlicherweise
ein AktiveX-Element
installiert,
welches dann
doch nicht den
Vorstellungen
entspricht,
bekommt man
nach dem Entfernen
keine erneute
Warnmeldung
mehr angezeigt,
sollte eine
Webseite dieses
Element erneut
anbieten. Es
wird sofort
unbemerkt heruntergeladen
und installiert.
Bereits installierte
Zertifikate
kann man bei
den Internetoptionen
unter:
"Inhalte"->
"Zertifikate"
nachschauen.
Dort können
sie auch wieder
entfernt werden.
|
Beispiel
einer Sicherheitswarnung
für ein
AktiveX
|
|
|
Hier ein
gültiges
Zertifikat:
|
Skripte
Skripte nennt man
Programme, die in
Skriptsprachen (ua.
JavaScript, VBScript,
Visual Basic), oft
nur als Quelltext
geschrieben sind.
Skriptsprachen sind
Programmiersprachen,
die hauptsächlich
für kleine und überschaubare
Programmieraufgaben
gedacht sind. Theoretisch
können Skripte (oder
Scripte) aber fast
beliebige Aktionen
auf dem Rechner
ausführen, gedacht
dem Computer-Nutzer
bestimmte Aufgaben
zu erleichtern oder
zu automatisieren.
Gerade diese Fähigkeit
birgt ein gewisses
Risiko, da es bei
einigen Skriptsprachen
keine Unterscheidung
zwischen Code und
Daten gemacht werden.
Der normale PC-Nutzer
merkt meistens nicht
einmal, zu welchem
Zweck, aus welcher
Quelle oder das
überhaupt gerade
ein Skript eingesetzt
wird.
Mit Hilfe von Skripten
ist es möglich Programmcode
online nachzuladen,
zu installieren
und zu starten.
Das kann, wenn in
bösartiger Absicht
geschehen, auch
schädlicher Programmcode
aus irgend einer
zweifelhafter Quelle
im Internet sein,
zum Beispiel einen
Wurm oder Trojaner.
Deshalb sind Browserhersteller
immer bemüht einen
Browser so zu programmieren,
dass risikoreiche
Aktionen von Skripten
mit Warnhinweisen
gekennzeichnet werden
oder rein bösartige
Skripte gar nicht
erst ausgeführt
werden können.
Jedoch werden immer
wieder neue Sicherheitslücken
gefunden, durch
die ein bösartiges
Skript doch noch
etabliert werden
kann.
Sehr beliebt ist
dabei das
Browser-Hijacking,
wobei mittels Skripten
auf einer Webseite
unter Ausnutzung
von Sicherheitslücken
ein bösartiges Programm
installiert wird.
Dabei werden die
Einstellungen des
Internet Explorers
so verändert, dass
beim Start des Browsers
Werbeseiten angezeigt
werden, oder eingegebene
Adressen zunächst
auf Werbeseiten
landen. Browser
Hijacker sind mehr
als ein kosmetisches
Ärgernis, weil diese
Schädlinge oft im
Hintergrund permanent
weitere Schädlinge
nachladen, die ihrerseits
wieder neue Aktivitäten
entfalten. Oft setzen
sie sich hartnäckig
im System fest,
indem sie Registrierungsschlüssel
ändern oder anlegen.
Browser Hijacker
können mit Tools
wie
HighjackThis
oder
Ad-Aware gefunden
und entfernt werden.
Bedauerlicherweise
bot der Internet
Explorer lange Zeit
nur die Option an,
Active Scripting
gleich ganz zu deaktivieren,
was zwar 100%ige
Sicherheit gegen
Skripte verspricht
aber genauso unsinnig
wäre, wie das Deaktivieren
von AktiveX-Elementen,
da so zu viele Inhalte
in Webseiten nicht
mehr angezeigt werden
können. Wenigstens
kann man seit dem
Service Pack 2 für
Windows XP nun auch
das binär- und Skriptverhalten
beeinflussen.
Eine andere Möglichkeit
wäre, den Browser
mit Webfiltern wie
den
Proxomitron
zusätzlich etwas
abzusichern. Dieser
Webfilter kann bestimmte
Skripte deaktivieren,
so dass der Funktionsumfang
des Browsers weitgehend
erhalten bleibt,
bestimmte Skripte
aber nicht mehr
ausgeführt werden.
Dazu aber später
mehr.
|
Dieses
Thema weiterempfehlen
