Internet: Sicherheit: Malware: Drive-by-Downloads
Drive-by-Downloads
BearbeitenDrive-by-Download nennt man das unbeabsichtigte Herunterladen von Software beim Besuch einer speziell dafür präparierten Webseite. Dazu ist es nicht erforderlich, irgend etwas auf der Webseite anzuklicken. Wie funktioniert das?
Wie funktioniert Drive-by-Download?
BearbeitenEine Webseite, auf der sich nichts „bewegt“, nennt man statisch. Um das Interesse der Besucher zu erhöhen, werden immer mehr Webseiten „dynamisch“ gestaltet: Durch Videos, Animationen und Werbebanner, durch blinkende Buttons, Pfeile und Rahmen. Mit reinem HTML sind nur statische Webseiten möglich. Für jegliche Bewegung wird ein Programm benötigt, das in einer „Client-Scriptsprache“ oder „Browser-Scriptsprache“ geschrieben ist. Javascript ist das wichtigste dieser Programme, auch Java-Applets, VBS (Visual Basic Script) und ActiveX werden genutzt. Wenn der Browser zusammen mit dem HTML-Code ein solches Programm vom Webserver erhält, führt er das Programm aus und die Webseite wird „lebendig“.
Theoretisch sind HTML-Inhalte und Browser-Skriptsprachen innerhalb der verwendeten Browsers „gefangen“ und können nicht auf Computerbereiche außerhalb der Browser-Umgebung zugreifen. Wenn es keine Sicherheitslücken gäbe ...
Hacker präparieren eine Webseite mit einem Script, welches nach einer oder mehreren Sicherheitslücken im Browser und den installierten Add-Ins sucht. Bei Erfolg wird ein Downloader installiert, der weitere Schädlinge herunterlädt. Das geschieht unbemerkt vom Benutzer (das englische „drive-by“ bedeutet „im Vorbeifahren“).
Wie groß ist die Gefahr, auf eine präpariere Weibseite zu geraten? Google meinte, etwa zwei bis drei Prozent aller geprüften Webadressen wären gefährlich. Zum Teil handelt es sich um gehackte Webauftritte, auch von renommierten Firmen. In zunehmendem Maße werden Werbebanner manipuliert, welche dann über Werbenetzwerke weiträumig verteilt werden.
Was kann man dagegen tun?
BearbeitenVor allem sollten Sie die installierte Software aktuell halten: Nicht nur Windows, sondern auch den Adobe Reader, Java, Flash Player, Media Player und andere Player. Installieren Sie ein gutes Schutzprogramm: Viele Internet-Schutzprogramme warnen vor verdächtigen Seiten. Und meiden sie verdächtig scheinende Seiten. Installieren Sie NoScript. Damit kann man zuerst alle Scripte generell deaktivieren und sie anschließend nur für diejenigen Seiten individuell freischalten, die vertrauenswürdig sind.
Wie kann es Hackern möglich sein, Webseiten zu infizieren?
BearbeitenAls normaler Nutzer des Internets stellt man sich vor, dass die Betreiber von Webseiten über jede Menge Kompetenz verfügen und ihren Webauftritt zu schützen wissen. Doch leider stimmt das nicht.
Im Februar 2017 hat eine Umfrage des renommierten Webhosters „Host Europe“ ergeben, dass 53 % seiner Kunden noch nichts zur Absicherung ihrer Webseiten unternommen haben. Unter den befragten Kunden waren ein Drittel Privatpersonen, ein Drittel Betreiber von Business-Webseiten und je 10 % entfielen auf Agenturen, Shops oder Domain-Inhaber.
Die meisten Kunden glauben, ihr Provider würde sich um alles kümmern. Doch Sicherheit ist teuer. Zum Beispiel benötigt man ein SSL-Zertifikat, wenn man den Besuchern seiner Webseite einen verschlüsselten https-Zugang ermöglichen möchte. Ein solches Zertifikat kostet − je nach Qualität − mehrere hundert Euro pro Jahr. Ist es sinnvoll, dafür Geld auszugeben? Falls die Website irgendwelche Nutzerdaten abfragt, dann unbedingt! Sonst wird die Website in den Suchergebnissen von Google herabgestuft, wenn die Kommunikation nicht mit einem SSL-Zertifikat abgesichert ist.
Nicht jeder Anbieter von Webspace bietet die gleichen Sicherheitsmaßnahmen an, und nur wenige Kunden leisten sich das Rundum-Sorglos-Paket einschließlich 24-Stunden-Hotline. Die Software, die auf dem Webserver läuft, hat Fehler und Sicherheitslücken wie jede andere Software auch. Gleichgültig ob der „MS Internet Information Server“ oder die kostenlose Software WordPress oder Apache zum Einsatz kommen, die Hacker kennen deren Sicherheitslücken genau. Zwar gibt es Updates, doch die meisten Serverbetreiber sind nicht gerade schnell beim Installieren, weil durch den meist erforderlichen Neustart der Server für einige Minuten nicht erreichbar wäre.