Ungepatcht im Internet, Erfahrungsbericht

Sandro Feuillet

Sandro Feuillet

Legendäres Mitglied
Heise Security hat einen sehr interessanten Artikel von einem Mitarbeiter des Internet Storm Center (ISC) publiziert. Dieser Mitarbeiter ist mit einem ungepatchten WindowsXP mit IE ins Internet gesurft. Was sich dabei alles automatisch auf seinem Computer installiert hat und welchen affiliates das nützt ist sehr eindrücklich nachzulesen.

Der Artikel ist relativ lang, aber auf jeden Fall lesenswert. Am Anfang surft der Tester auf eine Einzige falsche Internetseite, folgendes fängt er sich in den ersten zwei Teilen der Dokumentation ein:

Achtung, Links sind absichtlich deaktiviert da gefährlich, anklicken auf eigene Verantwortung!
QUOTE
Aus Schädlingen auf der Spur, Teil 1:

1. Ottos Startseite wurde verändert. Sie zeigt nun auf:
h*tp://default-homepage-network.com/start.cgi?new-hkcu
2. Ottos Standardsuchseite wurde umgebogen auf: h*tp://server224.smartbotpro.net/7search/?new-hkcu
3. Der Suchassistent wurde abgeschaltet.
4. Dafür wurde "TV Media Display" installiert
5. und addictivetechnologies.net beglückte Otto mit einer Datei, die Antiviren-Software als Win32/TrojanDownloader.Rameh.C bezeichnet.

Und aus Schädlingen auf der Spur, Teil 2:

6. Auf Geheiß der Malware von Addictive Technologies lud sich Ottos Rechner "Anweisungen" von F1Organizer.com herunter.
7. Durch diese Anweisungen tauchten zwei neue "Favoriten" in Ottos Browser auf und zwei neue "Geschenke" wurden auf dem PC installiert (SplWbr.dll and ezbdlLs.dll.
8. Die Installation von SplWbr.dll brachte den "Ad Destroyer and Virtual Bouncer" from SpyWare Labs, Inc. und die "TopRebates.com AutoTrack" Software auf Ottos Rechner.
9. Die Installation von ezbdlLs.dll lud ein "Utility zum Downloaden und Upgraden von Software" von "ABetterInternet" nach -- ein Utility, das das Surfen im Internet "einfach, aufregend und persönlich" gestaltet, wie die netten Leute von "ezULA" versichern. Außerdem landete das Browser-Hijacking-Tool SAHAgent auf dem Rechner.
10. Und schließlich wurde die Datei hp1.exe heruntergeladen und über einen .CHM-Exploit ausgeführt.



Wer heute noch mit dem Internetexplorer surft kann genausogut mit Sommerreifen im Winter fahren oder Russisches Roulette spielen.
 
Ich kann das so bestätigen. Installier ensprechende Software bevor Du online gehst oder warte weniger als 10 Minuten mit Windows XP am Netzwerk und Du bist definitiv verseucht.

Das ist schon peinlich.... Aber es verkauft sich ;-)
Mein moderner Computer will nicht mal mehr mit Win2k. Longhorn wird sehr gut oder ich werd sehr Linux werden...

PS Symtombekämpfung gibts hier: http://www.firebird-browser.de/
 
QUOTE (Alain Aubert @ Di 30.11.2004, 14:24) PS Symtombekämpfung gibts hier: http://www.firebird-browser.de/

Also ich will jetzt keinen Flamewar anreissen, aber es handelt sich beim Firefox nicht um Symptombekämfpung, sondern um Medizin. Die im Artikel erwähnten Exploits lassen sich bloss im IE durchführen. Mit dem Firefox ist man da bestimmt auf der sichereren Seite.

Gruss Sandro
 
QUOTE Wer heute noch mit dem Internetexplorer surft kann genausogut mit Sommerreifen im Winter fahren oder Russisches Roulette spielen.

Ich surfe seit 5 Jahren mit Internetexplorer und hatte noch nie ein Problem. Die Aussage von Sandro ist in meinen Augen uebertrieben und unserioes.


QUOTE Mit dem Firefox ist man da bestimmt auf der sichereren Seite.

Auch diese Aussage halte ich fuer Schoenfaerberei bzw. Augenwischerei und somit unserioes. Firefox ist alles andere als sicher, sonst waeren kaum 17 Security-Patches im 2004 zur Verfuegung gestellt worden!!!
 
Richtig Ivo, die 100%ige Sicherheit gibt es nicht. Firefox mag zwar moderner, sicherer und weniger angegriffen sein (bei den paar Prozent Marktanteil lohnt es sich einfach nicht) - will man sich aber 100%ig schützen, muss man den Stromstecker ziehen.
 
Sasser verbreitetet sich über RCP und nicht Mail.

Ein System mit IE kann sicher sein
- Windowsupdate (inkl. SP2)
- Antivir http://www.antivir.de
- spybot Search & Dedstroy (alle bekannte Spyware blocken)
 
Es gibt immerwieder Sicherheitslücken im IE die von Microsoft nicht in der nötigen Frist geflickt werden. Zum Beispiel diese aktuelle Drag&Drop Lücke. Natürlich kann man auch Javascript, Activescripting und weissichwasalles deaktivieren, aber da ist mir der Fuchs wesentlich sympathischer.

Meine Meinung ist halt, das wir Webmaster und Forenmoderatoren dem hier genannten Ottonormalsurfer beibringen, sich mit seiner Brows-Software vertraut zu machen, und "evtl." eine Alternative einzusetzen. Denn garnichtstun führt zu Spam-Zombies, auch wenn hier die Profis immer jeden Microsoft Patch innerhalb von 10 Minuten nach erscheinen auf ihr System gespielt haben.

Und gegen Sasser und Konsorten gibts nur mac (zumindest vorläufig...)
cool.gif


Gruss Sandro
 
Danke Ivo!

Hättest Du es nicht gesagt, müsste ich es jetzt tun.

Sich auf einen "Nicht-MS-Browser" zu verlassen ist mindestens ebenso gefährlich, wie nicht zu patchen.
Ich glaube meinetwegen an den Nikolaus, aber ich glaube keineswegs daran, dass die Programmierer von Firefox einen unangreifbaren Browser geschaffen haben. Weshalb sollten diese Typen den Stein der Weisen gefunden haben, der MS bislang versagt blieb? Schliesslich sind auch die Programmierer von MS nicht mit dem Milchbüchlein in die Schule gegangen.
Es gibt keinen unangreifbaren Browser!
Eigentlich ist es ganz einfach:
Was erfolgreich ist, gerät stärker unter Beschuss. Wenn der Siegeszug von Firefox weiter geht wird auch der über kurz oder lang in die Schusslinie böswilliger Programmierer geraten. Dann wird sich zeigen, wieviel Bestand er haben wird.

Warten wirs ab, bevor wir den Tag vor dem Abend loben.

und by the way, auch Mac ist keine Zauberkiste, die im Drachenblut badete und unverletzbar wurde.
dry.gif


Hamlet

 
Ich schliesse mich 100-prozentig Ivo an
smile.gif


Die Tatsache, dass von anderen Browsern (oder Betriebssystemen) weniger Sicherheitslücken bekannt sind, bedeutet nicht, dass diese nicht vorhanden sind.

Von meinem Autohersteller verlange ich auch nicht, dass er seine Autos diebstahlsicher herstellt - weil ich ja weiss, dass er dass gar nicht kann. So what ;-)

Griessli
Irene
 
QUOTE Was erfolgreich ist, gerät stärker unter Beschuss. Wenn der Siegeszug von Firefox weiter geht wird auch der über kurz oder lang in die Schusslinie böswilliger Programmierer geraten.



QUOTE Ich surfe seit 5 Jahren mit Internetexplorer und hatte noch nie ein Problem. Die Aussage von Sandro ist in meinen Augen uebertrieben und unserioes.

Mag sein. Nur bist du sicher kein Dau. @Irene, Du auch nicht ;-) @Ivo, sei Du meine Schwester und kaufe dir einen Computer. Heute wird WinXP installiert sein. Geh nach Hause steck ihn ein und surf los. Nach spätesten 5 Tagen wirst Du dich richtig nerven, weil viele Sachen passieren die Du nicht willst und die Du nicht gestartet hast.

Firefox bietet sicher weniger Angriffsfläche, weil viel weniger Opfer. Im Moment.

Btw: in diesem Zusammenhang wollte ich schon immer mal recherchieren ob Microsoft Aktien in der Security Branche hat ;-)

Microsofts Browser ist in meinen Augen ab diesem Punkt gut, wenn auch unerfahrene Nutzer nicht mehr dauern mit irgendwelchem Müll infisziert werden. Ich installier all meinen DAU Freunden (das Dumm stimmt eigentlich nicht und bezieht sich eigentlich nur auf PC, egal) die von Spyware generft sind (alle die nix von Internet und Crapware (=Spy- Adaware, etc ;-)) verstehen, Firefox, zeig ihnen noch das lustige am Tabbed Browsing und alle sind glücklich.
 
QUOTE Meine Meinung ist halt, das wir Webmaster und Forenmoderatoren dem hier genannten Ottonormalsurfer beibringen, sich mit seiner Brows-Software vertraut zu machen, und "evtl." eine Alternative einzusetzen. Denn garnichtstun führt zu Spam-Zombies, auch wenn hier die Profis immer jeden Microsoft Patch innerhalb von 10 Minuten nach erscheinen auf ihr System gespielt haben.

Damit bin ich grundsaetzlich einverstanden.


QUOTE Mit dem Firefox ist man da bestimmt auf der sichereren Seite.

Falsche Erwartungen/Hoffnungen duerfen jedoch nicht erweckt werden. Denn nichts kann fataler enden als wenn man sich truegerischer Weise in Sicherheit waehnt. Wer sich ins Netz begibt, nimmt grundsaetzlich ein Risiko auf sich. Firefox mag sehr wohl zur Zeit den sicheren Eindruck erwecken, was aber keinesfalls heisst, dass man damit auf der sicheren Seite ist.

Gruss an Euch alle und danke fuer die gute Diskussion.


 
QUOTE Die Tatsache, dass von anderen Browsern (oder Betriebssystemen) weniger Sicherheitslücken bekannt sind, bedeutet nicht, dass diese nicht vorhanden sind.


Das ist sicher eine Grundweisheit.
Letztendlich ist der Kunde, der ein Betriebssystem kauft und einen eventuell vorinstallierten Browser nutzt, für die Sicherheit verantwortlich.
Wenn letztendlich die Microsoft-Betriebssysteme als unsicher gelten, dann liegt das aus meiner Sicht daran, dass die Kunden jahrelang keine Sicherheit eingefordert haben und einfach klaglos das genommen haben, was Microsoft vorgesetzt hat.

Microsoft ist ein kapitalistisches Unternehmen. Wenn die Kunden es wollten, dass der Computer Strickmuster entwirft anstatt sicheres Surfen im Internet zu ermöglichen, dann würde Windows demnächst sicher auch stricken können.

Ende vom Lied ist, dass jeder, wirklich jeder sich Gedanken über die Sicherheit seines Computersystems machen muss.
 
Hallo

Es muss nun mal definitiv gesagt werden, das wenn SP2 mit Automatischen Updates drinn ist, ein Virensacanner verwendet wird, das ein User sicher surfen kann.

Wenn DAU aber nicht Patcht ist er selber schuld (wie wenn er sein Auto nicht abschliesst)
Gegen Sasser gab es 10 Tage vor erscheinen einen Patch
dasselbe mit den JPG-GDI Virus
etc...
Firefox ist schon fast Sicherheits-Luxus.
 
Wird es den Internet Explorer in zehn Jahren noch geben oder leutet die Firefox Revolution das Aus für IE ein?
 
QUOTE (Alain Aubert @ Di 30.11.2004, 19:22)Ich installier all meinen DAU Freunden ... Firefox, zeig ihnen noch das lustige am Tabbed Browsing und alle sind glücklich.

Ich hoffe in diesem Zusammenhang einfach, dass Du ihnen trotzdem Antivirus und Firewall drauftust oder sie mindestens drauf hinweist. Weil Löcher gibts ja nicht nur in Browsern, sondern auch im Mail, Chat, Instant Messaging, ..., oder einfach übers Netzwerk/Betriebssystem.
Ansonsten sinds wohl keine so guten Freunde ;-))

@Beni
Wenn DAU nicht patcht, dann wohl deshalb, weils ihm niemand gesagt hat. Ich weiss zwar auch nicht, wen man da in die Pflicht nehmen könnte/müsste, aber es wär sicher nicht verkehrt, wenn die Provider bei jedem Vertragsabschluss den Kunden auf die Risiken aufmerksam machen müssten. Quasi wie bei Medikamenten "dies ist ein Internetzugang, zu Risiken und Nebenwirkungen fragen Sie Ihren Hardware- oder Softwarehänder" ;-)

Griessli
Irene
 
Ich weiss jetzt nicht, ob das vielleicht in einem neuen Thread besprochen werden müsste.

Ich habe ehrlich gesagt ein Riesenproblem damit, dass ständig Microsoft als Buhmann dargestellt wird.

Ich weiss, gegen Microsoft zu spotten oder hetzen, ist hip und cool und in und update und weiss der Geier was es da noch für tolle Worte gibt.
Das macht aber wenig Sinn! Überlegt doch mal, wie sich die EDV entwickeln hätte können ohne Microsoft. Lasst uns mal die Geschichte aufrollen:

Es gibt da zwei Herren, die genannt werden wollen:
Bill Gates (Microsoft) und Steve Jobs (Apple)

Ende 60er-Jahre des letzten Jahrhunderts war IBM der Leader in Computerfragen. Eigentlich hätte Bill Gates nach dem Deal mit IBM sich zurückziehen können. Der Deal war, IBM-PCs verwenden MS-DOS. Daher kam später auch die Bezeichnung "IBM-kompatibel".
Billy war jetzt bereits ein reicher Mann und hätte sich in die Berge von Montana zurück ziehen können um Alpakas zu züchten zwecks Fleisch- und Wollproduktion. Das hat er aber nicht.
Denkt mal nach, was wäre wenn Bill Gates die weitere Entwicklung den Nadelstreifen-Herren von IBM überlassen hätte. Mal Ehrlich jetzt: OS/2 war ja wohl, trotz massiver Werbung, ein Riesenflop.
Ich habe gequälte Sekretärinen gesehen, die sich mit IBM-PC-Text-4 rumschlugen. Wo ständen wir heute? Bei IBM-PC-Text-7?

Steve Jobs war auch so ein Verrückter mit einer Idee. Er wollte eine Art "Volkswagen" der Computer haben und baute den auch. Und der war erfolgreich. Die nächstfolgende Serie war grossartig, aber zu teuer, deshalb ein Flop. Eine weitere Generation von Apple war aber wieder erfolgreich.

Dann gabs da noch die Firma Rank-Xerox, die spielt keine unwichtige Rolle in diesem Ränkespiel:
Die Idee der grafischen Bedien-Oberfläche mit Maus wurde bei Rank-Xerox entwickelt, das war nicht Microsoft und das war nicht Apple!
Anfang der 70er-Jahre im letzten Jahrhundert hatte Rank-Xerox ein komplettes System in der Tasche. OK, die Maus war noch 8cm breit, 5cm hoch und 20cm lang, aber es funktionierte.
Da waren bei Rank-Xerox ein paar Herren im Nadelstreifen-Anzug, die fanden, das sei nicht entwicklungsfähig.

Wies der Zufall will, hat Bill Gates das System bei einer Betriebsbesichtigung gesehen und halt ....
... weiter darüber nachgedacht.

Hätte Bill Gates Alpakas gezüchtet und wären bei Rank-Xerox andere Entscheidungen getroffen worden, würden wir heute vielleicht mit RX-Windows 2004 arbeiten statt mit MS-Windows XP.

Mal ehrlich jetzt, nach dieser Kurz-Historie:
- Bei IBM hat man geschlafen
- Xerox ist heute ein Synonym für Kopien "I will xerox this paper"
- Die meisten MS-Programme sind Apple-kompatibel
- umgekehrt ebenso

Ich denke mal, ohne Microsoft würden wir uns noch im finstersten Mittelalter der EDV bewegen.


Jetzt noch ganz kurz zu den soooo tollen Unix-Derivaten:
Linux und Kollegen können nicht angegriffen werden, so heisst es! Das ist gelogen und Ihr wisst das.
Auf der Serverseite im Internet belegt Microsoft mit seinem IIS nur einen ganz kleinen Marktanteil. Die meisten Server sind doch wohl auf Linux basierend.
Jetzt erklärt mir mal, warum ständig irgendwelche Server unter Angriffen abliegen wenns doch keine Microsoft-Server sind?

Oder ganz anders:
Jeder Fahrschüler lernt, dass er Reifendruck und Ölstand regelmässig prüfen sollte, zu seiner eigenen Sicherheit.
Wir werden uns daran gewöhnen, unseren Schülern künftig die Gefahren des Internets plausibel zu machen und ihnen nicht irgend welchen Quatsch von sicheren Browsern vorzulügen!

Quintessenz:
Denkt mal nach, bevor ihr ständig Miicrosoft anpöbelt. Macht Euch erst mal schlau!

Ich für meinen Teil verwende Microsoft-Produkte, weil sie einfach gut sind! Und ich bin überzeugt davon und werde meinen Kunden weiterhin Microsoft-Produkte empfehlen

Alles nicht böse meinend
Hamlet
 
QUOTE Es muss nun mal definitiv gesagt werden, das wenn SP2 mit Automatischen Updates drinn ist, ein Virensacanner verwendet wird, das ein User sicher surfen kann.


Ich halte diese Aussage für gefährlich naiv.
Ein System kann nicht sicher sein. Man kann allerhöchstens zu einem bestimmten Zeitpunkt ein System haben, das sicherer ist als das Durchschnittssystem.


QUOTE Wir werden uns daran gewöhnen, unseren Schülern künftig die Gefahren des Internets plausibel zu machen und ihnen nicht irgend welchen Quatsch von sicheren Browsern vorzulügen!


Das ist es.
Dabei ist es unerheblich, wie nun das Betriebssystem heißt.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben