Kommentare und Anmerkungen zum Leitfaden Rechnersicherheit

**Kugelfisch23** · 10. 04. 2010, 23:33

In diesem Thread können Kommentare, Anmerkungen und Fragen zum in http://board.gulli.com/thread/152225...-und-erkennen/ vorgestellten Sicherheitskonzept geäussert werden.

Für Fragen zu eigenen Malware-Problemen solltest du jedoch - sofern die Fragen durch den Sticky nicht beantwortet werden - einen eigenen Thread eröffnen.

**Bensonatic** · 02. 07. 2010, 17:58

Moinsen,
mir ist folgende Textstelle im Sticky Leitfaden Rechnersicherheit aufgefallen die imho wiederlegt wurde:

2.2.1. Erkennung von Malware - Einschätzung ausführbarer Dateien; Malwarescanner[...]
Die Praxis zeigt etwa, dass insbesondere User, welche auf wenig vertrauenswürdigen Websites nach Cracks, `Hacking`- oder Cheat-Tools suchen, oft ein leichtes Opfer für Script-Kiddies sind, die auf diesem Weg ihre Malware verteilen wollen.[...]

vergl zb hier http://www.gulli.com/news/nicht-nur-...are-2010-06-30

**Kugelfisch23** · 02. 07. 2010, 18:55

Die News spricht aber eine andere Problematik an als der zitierte Abschnitt im Sticky. Der Abschnitt behandelte fremde Binaries aus wenig vertrauenswürdigen Quellen, welche vom Benutzer selbst heruntergeladen und ausgeführt werden. An dieser Stelle entpuppen sich z.T. Cracks, insbesondere aber vermeintliche 1-Klick-`Hacking`-Software oder Cheat-Tools für Online-Games häufig als Malware von Skript-Kiddies. Wie im Anschluss erwähnt, ist es natürlich auch möglich, dass Downloads auf an sich vertrauenswürdigen Websites ausgetauscht werden (aktuelles Beispiel: UnrealIRCd) - dennoch halte ich die Beispiele für denkbar wenig vertrauenswürdige Binaries nicht für verfehlt.

Die in der News zitierte Studie behandelt offenbar kompromittierte Websites, i.e. Websites, welche derart manipuliert wurden, dass sie ohne Kenntnis des Webmasters und nicht über vorgesehene Wege zur Publikation von Benutzer-Inhalten (wie dies z.B. in einem Board der Fall ist) automatisiert Malware verteilen und dazu i.d.R. Schwachstellen im Browser und/oder in Plugins ausnutzen. Auf diese Problematik wird in Abschnitt 2.1. eingegangen, der Punkt, dass auch an sich vertrauenswürdige Websites kompromittiert sein könnten und automatisiert nicht behobene Schwachstellen ausnutzen, könnte allerdings an dieser Stelle eventuell noch einmal wiederholt werden.

**aNtiCHrist** · 03. 07. 2010, 15:27

Hallo Bensonatic, wir danken dir für deinen Hinweis. Solche Hinweise helfen uns sehr, Unklarheiten zu erkennen, die uns durch die andere Sichtweise auf das Thema schnell als selbstverständlich erscheinen.

Wie von Kugelfisch23 schon erwähnt, muss man zwischen der unbewussten Infektion über Schwachstellen und dem aktiven Ausführen von Code aus nicht vertrauenswürdigen Quellen unterscheiden. Den letzten Fall hatten wir bereits durchaus umfassend erwähnt, er wird eben auch nicht durch die Studie widerlegt.

Bezüglich der Ausnutzung der Schwachstellen war der Artikel allerdings tatsächlich nicht sehr deutlich. Die Problematik, dass auch seriöse Seiten gefährlich sein können, wurde nicht mal erwähnt. Dadurch konnte in Verbindung mit dem Abschnitt 2.2 der Eindruck entstehen, dass ausschließlich dubiose Seiten gefährlich sein könnten. Wir haben den Artikel aufgrund deiner Rückmeldung entsprechend ergänzt. Unter 2.1 findet sich nun ein zweiter Absatz, der auch die in der von dir verlinkten Meldung erwähnte Problematik anspricht. Außerdem haben wir unter Punkt 2.1.1 das Wort "jeder" hervorgehoben.

Falls du noch Anmerkungen zu der Änderung des Artikels oder weiteren darin enthaltenen Punkten hast, sind die natürlich jederzeit willkommen. Das gilt selbstverständlich auch für jeden anderen Leser.

**mathmos** · 03. 07. 2010, 16:16

Na dann will ich auch mal mein Glück versuchen.

Man könnte in der Anleitung noch angeben, welche Daten man von einem kompromittiertem System sichern kann, und von welchen man besser die Finger lässt (zum Beispiel unter Punkt 2.5). Stichwort ausführbare Dateien.

Viele Benutzer greifen ja erst mal in die Sch.... und haben auch keine regelmäßige Datensicherung. Die Frage, welche Dateien sie sichern können, ist hier dann auch schon ein paar mal gestellt worden.

**Kugelfisch23** · 03. 07. 2010, 17:10

Stimmt, das wäre wohl tatsächlich sinnvoll, sowohl für Abschnitt 3, wie auch für Abschnitt 2.2.2 - allerdings sollte man meiner Ansicht nach klar zwischen Dateien, welche direkt ausführbaren Binärcode enthalten, zwischen Skripten und zwischen Dateien unterscheiden welche unter Umständen Makros enthalten können. So können z.B. Word-Dokumente ohne Weiteres gesichert werden, wenn vor dem erneuten Öffnen die Makro-Funktionalität deaktiviert oder zumindest die Sicherheitsnachfrage vor dem Ausführen von Makros aktiviert wird (von Schwachstellen in Microsoft Office einmal abgesehen). Eigene Skripte lassen sich relativ leicht auf Schadcode untersuchen, wogegen dies bei Dateien, welche direkt Binärcode transportieren, wesentlich aufwendiger ist.

In dieser Hinsicht müssten wir aber wohl im Anhandeine eigene Liste ausführbarer Dateitypen bzw. -Endungen pflegen. So enthält etwa http://de.wikipedia.org/wiki/Liste_a...rer_Dateitypen einige Fehler: TTF-Schriftarten liegen z.B. meines Wissens keineswegs im PE-Format vor, wie der Artikel suggeriert (in http://de.wikipedia.org/wiki/Diskuss...rer_Dateitypen wird übrigens bereits seit geraumer Zeit auf diesen Fehler hingewiesen) und auch HTML-Dokumente würde ich nicht als ausführbare Dateien im engeren Sinne bezeichnen, da diese keinen Schaden anrichten, wenn sie in einem sicheren Browser ohne erweiterte Rechte dargestellt werden. Solche Dateien in derselben Liste wie z.B. exe- oder scr-Dateien zu nennen, könnte IMHO leicht dazu führen, dass die Gefahr, welche von Letzteren ausgeht, unterschätzt wird.
Prinzipiell müsste man natürlich darauf hinweisen, dass jede Anwendung in ihrem eigenen Dateiformat die Möglichkeit bieten kann, Code (i.d.R. in Form von Makros/Skripten) unterzubringen (und diesen beim Laden mit vollen Benutzerrechten auszuführen), weshalb die Liste stets als nicht abschliessend angesehen werden muss.

Ist dir eine (möglichst abschliessende) Liste der Dateiendungen bekannt, welche von Windows in der Standardkonfiguration direkt mit vollen Benutzerrechten ausgeführt werden? Dies betrifft insbesondere Dateien, welche direkt ausführbaren Code transportieren (exe, com, scr, pif, ...) und direkt ohne einen zusätzlich installierten Interpreter ausführbare Skripte (bat, cmd, vbs, ...).

Danke für deine Rückmeldung!