Information Security Society Switzerland (ISSS)
menu

Vermeidung von Drive-By Downloads

Was ist ein Drive-By Download?

Wenn eine Webseite beim Besuch mit dem Webbrowser ohne Einwilligung des Benutzers heimlich Software installiert, nennt man dies einen Drive-By Download.

Wieso sind Drive-By Downloads gefährlich?

Bösartig manipulierte Webseiten installieren mittels Drive-By Downloads heimlich Schadsoftware wie Trojaner oder Viren auf Ihrem Computer. Diese Schadsoftware kann dann dazu benützt werden, um Spam-Emails ab Ihrem Computer zu versenden, Ihre Passwörter und Kreditkarteninformationen zu stehlen oder um illegale kinderpornografische Bilder auf Ihrem Computer versteckt abzuspeichern und als Download Dritten anzubieten.

Wie kann ich mich als Websurfer schützen?

Verwenden Sie die neueste Version ihres Lieblingswebbrowsers. Und zwar sowohl am Arbeitsplatz wie auch zuhause. Stellen Sie sicher, dass Sie regelmässig sowohl Browser als auch dessen Plugins (Quicktime, Flash, Java etc.) auf neue Softwareupdates prüfen und diese baldmöglichst installieren. In den neusten Webbrowsern sind nicht nur bekannte Schwachstellen behoben, sondern sie verfügen in der Regel auch über zusätzliche Sicherheitsfunktionen.

 

Die Webbrowser Chrome, Firefox und Opera prüfen in der Standardkonfiguration selbstständig auf Updates, während Microsoft Internet Explorer und Apple Safari via Betriebssystem-Updatemechanismus regelmässig auf den neuesten Stand gebracht werden, sofern korrekt eingerichtet.

 

Mit dem gratis Personal Software Inspector "Secunia PSI" können installierte Windows Anwendungen auf bekannte Sicherheistrisiken geprüft werden. Es wird auch erklärt, wo man ein Update beziehen kann.

 

Gibt es auch "Drive-By Download"-Fälle in der Schweiz?

Ja, es sind auch Schweizer Webseiten und Webnutzer betroffen, belegt beispielsweise durch den Beitrag "Die Schweiz im Visier der Computerhacker" (Video) in der Sendung 10vor10 vom 17.10.2008 im SF1.

Wie gross ist das Problem wirklich?

Für einen erfolgreichen Drive-By Download wird eine Schwachstelle im Webbrowser benötigt. Wer einen alten Webbrowser mit bekannten Sicherheitsschwachstellen einsetzt, öffnet damit seinen Computer für solche Angriffe. Die Studie "Understanding the Web browser threat" von ETH, Google und IBM ISS stellte Mitte 2008 fest, dass in den vergangenen 18 Monaten maximal 45.2% der weltweiten Internetbenutzer die jeweils neueste und damit sicherste Webbrowserversion einsetzten. Dies entspricht 637 Millionen Websurfer, welche nicht mit der sichersten verfügbaren Webbrowser-Version im Internet unterwegs sind und sich somit unnötig einem erhöhten Sicherheitsrisiko aussetzen.

Laut der an der USENIX-Konferenz veröffentlichten Studie "All Your IFRAMES Point To Us" von Google und der John Hopkins Universität wurden im Jahr 2007 gut 3.4 Millionen bösartige Webseiten (URLs) entdeckt, welche mittels Drive-By Downloads Schadsoftware auf den Computer ihrer Besucher installierten.

Kann mich mein Webbrowser vor bosärtigen Webseiten warnen?

Die Webbrowser der neuesten Generation enthalten standardmässig eine ständig aktualisierte Liste mit als bösartige bekannten Webseiten (bzw. deren "Hash"). Beim Besuch einer bösartigen Webseite zeigt der Webbrowser statt der Webseite eine Warnung an.

Bild: Warnung durch Webbrowser Chrome vor einer bösartigen Website, welche Malware per Drive-By Download auf dem Computer des Besuchers zu installieren versucht.

Ist meine Webseite momentan von Drive-By Downloads direkt betroffen?

Um festzustellen, ob ihre eigenen oder eine beliebige andere Webseite für Drive-By Downloads missbraucht wird, gibt es frei verfügbare Tools:

  • Mit den gratis Webmaster-Tools von Google können Sie feststellen, ob von Ihnen als Webmaster betreute Webseiten in die Liste der Google bekannten bösartigen Webseiten aufgenommen wurde. Die Browser Firefox und Chrome zeigen beim Zugriff auf solche Webseiten eine Warnung.
  • Mit unserem "Check URL"-Tool auf dieser Seite können Sie beliebige einzelne Webseiten dahingehend überprüfen, ob Sie Google als bösartig bekannt sind.

Auf Drive-By Downloads und Schadcode zu prüfende Webadresse (URL):

Wie kann ich als Webmaster meine Webseite gegen Drive-By Downloads schützen?

Es gibt zwei gängige Wege, wie Schadcode unbemerkt auf ihre Website gelangen kann:

  1. Ein Hacker ist durch eine Sicherheitsschwachstelle auf ihren Webserver eingedrungen und hat auf ihren Webseiten Schadcode eingefügt. Die Verwendung der neuesten Webserver-Software und starker Passwörter (u.a. für den Filetransfer und das Login ins Content Management System) reduzieren hier das Risiko erheblich.
  2. Ihre Website enthält bösartige Fremdinhalte, weil Benutzereingaben vor deren Publikation nicht genügend auf Sicherheit geprüft wurden oder weil die Vetrauenswürdigkeit einer eingebundenen Informationsquelle nicht sorgfältig genug geprüft wurde:
    • Benutzereingaben: Benutzer ihrer Webseite können eigene Inhalte auf den Webserver laden, welche sodann öffentlich publiziert werden. Prominente Beispiele dazu sind Gästebücher oder Foren. Wenn die verwendete Software die Benutzereingaben nicht ausreichend auf Schadcode prüft und diesen entfernt, wird solcher publiziert. Die Verwendung von HTML-Tags wie z.B. iframe-Links, Javascript code, VBScript code oder ActiveX-Komponenten sollten stark eingeschränkt oder besser unterbunden werden, insbesondere bei Benutzereingaben aus nicht vertrauenswürdiger Quelle.
    • Dynamische Fremdinhalte: Ihre Webseite bindet dynamisch Fremdinhalte von anderen Webservern ein wie z.B. Javascript code für einen Seitenabrufzähler oder ein anderes Widget oder zeigt Fremdinformationen in iframes. Als Webmaster müssen Sie sicherstellen, dass sie der Quelle Vertrauen können, denn Sie haben keine direkte Kontrolle über diese Inhalte, welche direkt vom Browser des Benutzers bei Dritten angefordert werden.