:: NORMAN :: Antivirus | Firewall

Proaktive IT-Sicherheit

Startseite

News

Produkte und Dienstleistungen

Viren und Sicherheit

Support

Download

Partner

Kaufen

Land auswählen

Produkt auswählen

Viren und Sicherheit » Sicherheitsinformationen » 2007 » Unsichere Webserver – Zahl der Malware-Angriffe nimmt zu

Unsichere Webserver – Zahl der Malware-Angriffe nimmt zu

Zu meinen Norman Favoriten hinzufügen

Sicherheitshinweis, Woche 48, 2007

Security Information

Einführung

Anfangs wurde bösartige Software (Malware) hauptsächlich über Disketten übertragen, und große Angriffe waren selten. Als sich E-Mails als Hauptüberträger für Malware etablierten, stieg das Ausmaß dieses Problems um ein Vielfaches, und umfassende Angriffe wurden zu einem häufigen Phänomen.

Heutzutage gibt es kaum noch größere Malwareangriffe. Die Gefahren für Online-Benutzer haben sich dennoch eher vergrößert. Und ein neuer Verbreitungsvektor wird bei den Angreifern immer beliebter: Schädliche Websites.

Die neue Zombie-Generation

Als „Zombies“ werden häufig Computer bezeichnet, die einem so genannten „Botnet“ oder „Bot-Netz“ angehören. Diese werden z. B. verwendet, um an verteilten Denial-of-Service-Angriffen (DDOS-Angriffen) teilzunehmen oder Spam zu verbreiten. Meist wissen die Besitzer dieser Computer überhaupt nicht, dass diese Teil eines solchen Angriffs sind, da sie häufig ohne das Wissen des Benutzers mit Malware infiziert sind.

Die Malware von heute verwendet häufig mehrere Angriffsvektoren, um andere Malware zu verbreiten und zu installieren. Ein solcher Verbreitungsmechanismus sind Webserver. Früher war diese Methode nicht besonders verbreitet, da die Angreifer in der Regel ihre eigenen Webserver aufsetzten und dann versuchten, andere Benutzer dazu zu bringen, die entsprechende Website zu besuchen. Diese Vorgehensweise hatte mindestens drei Nachteile:

Es ist relativ schwierig, viele Benutzer dazu zu bringen, eine bestimmte neue Website zu besuchen.
Bösartige Server lassen sich sehr schnell und einfach durch eine Meldung beim Internetdienstanbieter vom Netz nehmen.
Die Gefahr entdeckt und anschließend strafrechtlich verfolgt zu werden ist sehr groß.

Diese Situation hat sich jedoch aufgrund von einigen voneinander unabhängigen Ereignissen drastisch geändert. Webserver werden zu beliebten Vektoren für die Verbreitung von Malware. Dies hat unter anderem folgende Ursachen:

Fast alle Internetnutzer haben einen eigenen Webserver

Heimcomputer werden seit Jahren immer beliebter. Und immer häufiger sind sie über direkte Verbindungen (xDSL-Verbindungen) auch rund um die Uhr mit dem Internet verbunden, häufig mit fester IP-Adresse und registrierter Domäne.

Die Heimcomputer sind oft aus unterschiedlichen Gründen auch als Webserver eingerichtet, sodass Freunde, Kollegen und alle anderen Interessierten über das Internet auf die Inhalte zugreifen können, die Sie und Ihre Familie veröffentlichen.

Es ist leider auch eine bekannte Tatsache, dass die meisten Privatnutzer nicht so sehr auf die Sicherheit achten wie die Profis, die in IT-Abteilungen von Unternehmen arbeiten. Diese privaten Webserver sind deshalb häufig unsicher und können von Menschen mit schlechten Absichten leicht missbraucht werden – oftmals, ohne dass der Besitzer des Webservers davon weiß.

Zunehmende Konzentration auf die Sicherheitslücken von Betriebssystemen und Anwendungen

So genannte Black Hats, also kriminelle Hacker, zielen mehr und mehr auf die Sicherheitslücken von Betriebssystemen und Anwendungen ab. Im Internet gibt es sogar spezielle Marktplätze für den Kauf und Verkauf von Exploits und Exploit-Codes. Aus diesem Grund nutzen immer mehr Malwarevarianten diese Sicherheitslücken aus. Es lässt sich daher nicht genug betonen, wie wichtig es ist, Computer mit allen verfügbaren Patches zu schützen.

Wenn Webserver von Organisation (und auch Privatpersonen) betrieben werden, die der Sicherheit nicht höchste Priorität einräumen, können sie leicht Angriffsziel für Malware werden. Diese nutzt sogar altbekannte Sicherheitsmängel in Betriebssystemen und anderer Software aus, wenn die Server nicht permanent mit Patches und Aktualisierungen geschützt werden.

Firewalls blockieren den Webdatenverkehr nicht

Durchschnittliche Websurfer wissen meist nicht, ob eine besuchte Website harmlos oder bösartig ist. Die meisten Firewalls (Privat- und Unternehmenslösungen) lassen Http-Datenverkehr mit dem Internet zu, und so lassen sich schädliche Inhalte leicht hinter harmlosem Http-Datenverkehr verbergen.

In manchen Organisationen ist festgelegt, dass nur Datenverkehr von vordefinierten Websites durch die Firewall passieren kann. So lässt sich die Gefahr durch unbekannten Websites bannen, doch diese Methode hat ganz offensichtlich auch Nachteile.

Pondering woman with laptop

Vom Verunstalten zur finanziellen Schädigung

Vor einigen Jahren war das Verunstalten von Websites beliebt bei Hackern, die im Internet ihr Unwesen treiben wollten. Doch das Verunstalten alleine hat keine wirtschaftlichen Auswirkungen – man verdient sich höchstens Ansehen bei zweifelhaften Gruppierungen. Seit sich das Internet aber in einen großen Schauplatz für alle Arten von strafbaren Handlungen verwandelt hat, hat sich das Interesse vom Verunstalten einer Website (als Beweis für das eigene Können) wegverlagert. Im Fokus steht jetzt vielmehr der Missbrauch fremder Webserver als Mittel, um traditionellere Straftaten zu begehen, die sich am Ende auch noch auszahlen.

Sie hat die Kontrolle über Ihren Webserver

Kriminellen, die Zugriff auf mehrere Webserver weltweit haben, stehen verschiedene Möglichkeiten zur Verfügung.

Sie können Ihre Website als Phishingsite verwenden, die sich beispielsweise wie die echte Website einer Bank präsentiert. Der Nachteil dieser Methode ist natürlich, dass Sie recht schnell bemerken werden, dass Ihre Website vollständig verändert wurde.
Sie können Technologien einsetzen, die Ihre Webseiten so verändern, dass Sie selbst oder die Besucher Ihrer Website dies überhaupt nicht bemerken. Dies geschieht beispielsweise dadurch, dass Code in die Seiten eingefügt wird, mit dem Malware auf die Computer der Besucher geladen wird. Diese Malware kann von anderen Servern überall sonst auf der Welt heruntergeladen werden. Sie selbst bemerken nichts davon.
Sie können Ihre Website als Downloadsite für Malware verwenden, auf die von anderen befallenen Webservern auf der ganzen Welt verwiesen wird. Dies bemerken Sie nur, wenn Sie Ihre Protokolldateien dahingehend überprüfen, welche Webressourcen angefordert wurden.
Einige Webserver wurden mit äußerst ausgeklügelten Methoden zweckentfremdet, da sie Teil von großen Webserverfarmen sind, die die gleichen Inhalte hosten. Der Angreifer, der die befallenen Webserver steuert, kann beispielsweise DNS-Namen registrieren, die die IP-Adressen extrem häufig (z. B. jede Minute) ändern.
Da sich der Server, der die Inhalte hostet, ständig ändert, ist es schwierig die gesamte Struktur zuzuordnen und die Verbreiter der Malware unschädlich zu machen.

Haftbarkeit für Inhalte von Webservern

Die Gesetzgebung zur Haftbarkeit für Inhalte auf Webservern unterscheidet sich zwischen den einzelnen Ländern. Meist können Sie (erfolgreich?) anführen, dass Ihr Webserver zweckentfremdet wurde und dass Sie nicht dafür verantwortlich sein sollten, was andere auf Ihre Webserver aufgespielt haben. Doch der Beweis hierfür lässt sich nur schwer erbringen, wenn Sie keine Protokolldateien vorlegen können, die den Angriff selbst belegen.

Doch selbst wenn Sie eindeutig beweisen können, dass Sie keine Schuld trifft, können einige unangenehme Tage, Wochen oder gar Monate vergehen, bevor Sie die Strafverfolgungsbehörden überzeugen (und den Internetdienstanbieter dazu bringen, Sie wieder ans Netz anzuschließen).

Ein interessanter und häufig vorgebrachter Argumentationsansatz ist zudem, dass der Besitzer eines befallenen Computers beim Schutz des Computers grob fahrlässig gehandelt hat und deshalb auch dann haftbar gemacht werden sollte, wenn er die eigentliche Straftat nicht selbst begangen hat. Sollte sich dies im Gesetz niederschlagen, könnten viele private Betreiber von Webservern Gefahr laufen, als Kriminelle eingestuft zu werden

So können Sie sich schützen

Wie so häufig genügen auch hier einige einfache Schritte, die für jeden privaten Betreiber eines öffentlichen Webservers (und eigentlich jeden, der einen mit dem Internet verbundenen Computer besitzt) verpflichtend sein sollten:

Stellen Sie sicher, dass Ihr Computer immer mit den neuesten Sicherheitspatches des Anbieters des Betriebssystems und der Anwendungen aktualisiert wird. Dies sollten Sie regelmäßig tun – eine einmalige Installation genügt nicht, da immer wieder neue Sicherheitslücken bekannt werden.
Verwenden Sie Antivirensoftware, und aktualisieren Sie sie permanent. Eine veraltete Antivirensoftware schützt logischerweise auch nur gegen alte Malware
Richten Sie eine Firewall zwischen Ihrem Computer/Netzwerk und dem Internet ein. Lassen Sie nur Zugriffe auf/von gewünschten Ports (Diensten) zu.

VIRUSWARNUNGEN

Medium risk
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Neueste Virensignaturen

>>	2008-07-04 (UTC 13:16)

Sicherheitsinfo

>>	Der Jahresbericht des Internet Crime Complaint Center für 2007
>>	2007

Sicherheitshinweise

>>	Drei wichtige Updates für Microsoft-Betriebssysteme im Juni 2008
>>	Drei wichtige Updates für Microsoft-Betriebssysteme im Mai 2008

Norman zählt weltweit zu den führenden Herstellern von Daten- und Netzwerksicherheits-Lösungen. Mit Produkten zum Schutz vor Viren, Spyware, Adware, Phishing und Spam spielt das Unternehmen eine entscheidende Rolle in der Datenindustrie.