Sicherheitslücken in Web-Browsern u.a.
Die Web-Browser von Mozilla und Microsoft (Firefox, Seamonkey bzw. Internet Explorer, MSIE) sind die Standardwerkzeuge für die Benutzung des World Wide Web (WWW), des beliebtesten Teils des Internets. Hinzu kommen weniger verbreitete Programme wie Opera, Safari, Chrome oder Konqueror. Sie ermöglichen den Zugriff auf HTML-Dokumente (Web-Seiten), sowie auf Datei- bzw. Software-Archive (FTP, HTTP), teilweise auch auf Newsgroups (UseNet-Diskussionsforen) und E-Mail (Seamonkey, Opera).
Welche Dateitypen sind sicher? |
---|
Kurz gesagt: keine mehr. Inzwischen gibt es für fast alle verbreiteten Dateiarten auch Möglichkeiten damit schädlichen Code einzuschleusen – auch PDF oder Videos gehören dazu. Meist hängt es nur noch von der Software (-Version) ab, mit der Sie eine Datei öffnen, ob Ihr Rechner gefährdet ist. Reine Textdateien mögen unproblematisch erscheinen – aber nur, weil eine Datei die Endung "TXT" trägt, muss es keine reine Textdatei sein. |
Durch diese große Bandbreite an Funktionen und die damit einhergehende Komplexität der Software schleichen sich immer wieder Programmierfehler ein. Diese beeinträchtigen zum Teil die Funktionalität im täglichen Gebrauch (z.B. stürzt der Browser bei bestimmten Funktionen immer wieder ab). Eine Reihe dieser 'Bugs' genannten Fehler führen aber auch (meist unbemerkt) zu einer Beeinträchtigung der Datensicherheit und -integrität auf der Festplatte.
Sie ermöglichen es Online-Kriminellen, die diese Fehler kennen und ausnutzen, Dateien auf der Festplatte zu manipulieren oder Viren und andere Schädlinge, so genannte Malware, einzuschleusen und sie auszuführen.
Dies geschieht z.B. durch speziell präparierte Web-Seiten oder durch E-Mails, die schädlichen Code enthalten, also Befehle, die einen Angriff auf die Rechner der Benutzer darstellen.
Die Liste dieser Fehler ist lang. Jede neue Version eines Browsers beseitigt meist eine Reihe inzwischen bekannt gewordener Bugs, einige bleiben und es kommen neue hinzu. Browser-Erweiterungen (Plug-ins, Add-ons) erschließen weitere Dateiformate (etwa Videos) oder Dienste, bringen jedoch auch ihre eigenen Sicherheitslücken mit. Diese werden gerne ausgenutzt, z.B. bei Flash oder Java.
Um die Sicherheit des eigenen Rechners vor solchen Angriffen zu wahren, sollten folgende Empfehlungen beachtet werden:
- Verwenden Sie nur aktuelle Versionen der Browser (z.B.: Firefox, Safari, Opera, MSIE),
vermeiden Sie dabei jedoch Beta-Versionen (z.B. bei Google Chrome) - aktualisieren Sie ebenso regelmäßig installierte Browser-Erweiterungen,
etwa den Flash Player, Adobe Reader oder →Java (JRE) - schalten Sie jeweils die höchste Sicherheitsstufe ein
- aktivieren Sie alle Bestätigungen/Sicherheitsabfragen
- aktivieren Sie den im Browser enthaltenen Phishing-Filter (→Phishing)
- deaktivieren Sie Java und JavaScript (MSIE: JScript, VB-Script, Active Scripting)
- deaktivieren Sie ActiveX (nur MSIE)
- speichern Sie keine Passwörter im Browser
- deaktivieren Sie die Annahme sog. Cookies (darin werden Benutzer- oder Sitzungsdaten auf Ihrer Festplatte gespeichert) bzw. erlauben Sie Cookies nur für Websites, denen Sie vertrauen und auf denen es nicht anders geht
- schließen Sie nicht mehr benötigte Browser-Fenster – insbesondere, bevor Sie vertrauliche Daten eingeben (z.B. beim Online-Banking oder in Online-Shops)
- installieren Sie regelmässig Sicherheits-Updates, auch für Anwendungs-Software (Office, Media Player,...).
Sie werden zwar feststellen, dass Sie bestimmte Web-Angebote mit derart restriktiven Einstellungen nicht oder nur noch eingeschränkt nutzen können, die Sicherheit Ihrer Daten ist jedoch wichtiger. Wägen Sie daher im Einzelfall ab, ob Sie dem Anbieter eines Web-Dienstes vertrauen dürfen und einige der Funktionen zeitweise aktivieren. Meistens entgeht Ihnen jedoch nichts, das ein erhöhtes Risiko wert wäre.
Die Firefox-Erweiterung NoScript (auch für Seamonkey geeignet) erleichtert das fallweise Zulassen aktiver Inhalte. Es sperrt aktive Inhalte wie Javascript und Flash zunächst auf allen Seiten. Sie können jedoch mit einem Klick temporäre und permanente Ausnahmen festlegen.
Die Firefox-Erweiterung RequestPolicy geht noch einen Schritt weiter und unterbindet das Laden der Inhalte fremder Domains/Server (auch Bilder). Das Bedienkonzept ähnelt dem bei Noscript, auch hier können Sie temporäre und permanente Ausnahmen festlegen.
Beide Add-ons gemeinsam bieten eine hohe Sicherheit zum Preis etwas mühsamerer Benutzung des Web. Ebenfalls empfehlenswert ist die Firefox-Erweiterung BetterPrivacy, die so genannte Super-Cookies (Local Shared Objects, LSO) löschen kann, die zum Langzeit-Tracking dienen können.
Die Browser aus der Mozilla-Familie (wie Firefox, Seamonkey) erlauben es mehrere Benutzer-Profile anzulegen. Erstellen Sie eines mit strengen Sicherheitseinstellungen (s.o.) und eines für vertrauenswürdige Websites, z.B. Intranet-Seiten. Das Konzept von Internet einerseits und Intranet andererseits (mit entsprechenden Sicherheitseinstellungen) kennt auch der Internet Explorer (MSIE) ab v4.0, es ist jedoch löcherig wie ein Schweizer Käse und daher nur bedingt brauchbar. Erst mit IE 8 und 9 (+ regelmäßige Sicherheits-Updates) bietet der Internet Explorer ein akzeptables Sicherheitsniveau sowie Unterstützung für modernes HTML.
Der für die Zeitschrift c't entwickelte Browser-Check bietet Konfigurationsanleitungen sowie Demos von Sicherheitslücken für verschiedene Browser.
Weitere Sicherheitstipps:
- Installieren Sie Antivirus-Software und halten Sie sie aktuell
- Eine Desktop Firewall und/oder ein (DSL-) Router mit Paketfilter (sog. "Firewall-Router") kann einen Virenscanner nicht ersetzen, jedoch sinnvoll ergänzen
- Gehen Sie nie ins Internet, wenn Sie als Benutzer mit Administrator-Rechten angemeldet sind (Windows: 'Administrator', Unix/Linux: 'root'). Richten Sie dafür einen Benutzer mit drastisch eingeschränkten Rechten ein. Andernfalls sind Angriffen verschiedenster Art (z.B. durch Trojanische Pferde) Tür und Tor geöffnet, da diese auf Ihrer Festplatte die gleichen Rechte wie Sie haben.
- Informieren Sie sich über Sicherheitslücken in Ihrer Internet-Software, einschließlich des Betriebssystems. Installieren Sie regelmäßig entsprechende Updates (Bug-Fixes, Patches, Service Packs), die bekannt gewordene Löcher stopfen.
Security-Links:
- Sicherheit im Internet (BSI)
- Task-Force "IT-Sicherheit in der Wirtschaft" (BMWi)
- c't Browser-Check
- Qualys BrowserCheck
- Secunia: neueste Sicherheitslücken
- SecurityFocus (Symantec): die neuesten Sicherheitslücken
Archiv der BUGTRAQ-Mailingliste - Sicherheitslücken in Anwendungen und Betriebssystemen - WWW Security FAQ (historisch)
Quelle: TU Berlin