Drive-by-Download

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Ein Drive-by-Download bezeichnet das unbewusste (engl. Drive-by: im Vorbeifahren) und unbeabsichtigte Herunterladen (Download) von Software auf den Rechner eines Benutzers. Unter anderem wird damit das unerwünschte Herunterladen von Schadsoftware allein durch das Aufrufen einer dafür präparierten Webseite bezeichnet.[1][2] Dabei werden Sicherheitslücken eines Browsers ausgenutzt, denn definitionsgemäß ist mit HTML-Inhalten oder Browser-Skriptsprachen ein Zugriff außerhalb der Browser-Umgebung nicht möglich.[3]

Manipulation von Webseiten[Bearbeiten]

In vielen Fällen werden von den Angreifern gezielt Webseiten ohne Wissen der Betreiber manipuliert, etwa indem bekannte Schwachstellen bei verbreiteten Webanwendungen genutzt werden.[4][5] Danach genügt allein der bloße Aufruf einer solchen Webseite auch ohne irgendwelche Aktionen seitens des Benutzers, damit sich dadurch die Schadsoftware automatisch (und unbemerkt) auf seinen Computer herunterlädt.[6]

Verbreitung[Bearbeiten]

IT-Sicherheits-Unternehmen berichten, dass eine Vielzahl von Webseiten durch schädliche Software infiziert sei.[7][8] Diese Methode nehme seit 2007 ständig zu und habe mittlerweile E-Mail als Hauptverbreitungsmethode für Schadsoftware verdrängt. Täglich kämen mehrere Tausend betroffene Webseiten hinzu.[9][10]

Technik[Bearbeiten]

Heute beinhalten Webseiten häufig dynamische Funktionen, die durch clientseitige Technologien wie JavaScript (auch als Teil von Ajax), Java, Adobe Flash realisiert sind. Diese Techniken erlauben eine ständige Kommunikation zwischen Browser und Server, ohne dass der Benutzer eine Aktion durchführen muss. Dies wird unter anderem eingesetzt, um Werbebanner auszutauschen, Listen zu laden oder Daten an den Server zu übertragen. Üblicherweise werden diese Aktionen im Browser in einer Sandbox ausgeführt. Nur wenn der Browser eine Sicherheitslücke aufweist, kann Software aus dieser Sandbox direkt auf den Computer des Benutzers zugreifen. Somit ist es möglich, dass Schadsoftware ohne eine Aktion des Benutzers vom Server zum Browser und über die Sicherheitslücke im Browser auf den Computer des Benutzers gelangt.

Schutz[Bearbeiten]

Zum Schutz vor ungewollten Drive-by-Downloads hilft es, immer die aktuelle Version des Browsers zu verwenden, Plugins wie Adobe Flash sowie den Adobe Reader immer auf dem neuesten Stand zu halten oder zu deaktivieren.[11] Teilweise, insbesondere im kommerziellen Umfeld, werden diese Skriptsprachen auch auf Ebene der IT-Administration abgeschaltet oder gefiltert. Auch Java-Plugins zu deaktivieren, gar nicht erst zu installieren oder wenigstens aktuell zu halten vermindert die Wahrscheinlichkeit eines Befalls beträchtlich.[12]

Eine weitere Maßnahme besteht in Browser-Plug-ins, die Skripte jeweils nur nach Freigabe durch den Anwender zulassen, etwa NoScript oder FlashBlock für Firefox. Google Chrome- und Opera-Nutzer können auf das Browser-Plug-in NoScript zurückgreifen.[13]

Eine weitere Möglichkeit ist, den Browser oder das E-Mail-Programm in einer Sandbox laufen zu lassen. Eine Sandbox ist ein definierter Speicherbereich, in den der gesamte Output des in der Sandbox laufenden Programms geschrieben wird. Um ihn auf andere Teile zu kopieren, bedarf es einer besonderen Aktion des Benutzers, so dass unbeabsichtigte Veränderungen unwahrscheinlicher sind.

Einen ähnlichen Effekt hat es, Programme unter einem anderen Benutzerkonto, z. B. „Gast“, laufen zu lassen, dessen Zugriffsrechte auf einen engen Bereich beschränkt werden. Dies kann man unter Windows im Kontextmenü unter „ausführen als…“ bzw. in der Kommandozeile über den Befehl „runas…“ erreichen. Im Falle einer Infektion genügt es, dieses Konto zu löschen und neu zu erzeugen.

Quellen[Bearbeiten]

  1. computerwelt.at: Lexikon
  2. spiegel.de: „Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Webseite.“
  3. Windows IT library: JavaScript security, Juni 2004
  4. golem.de: Groß angelegter Hacker-Angriff auf europäische Webseiten
  5. heise.de: Report: Bösartige Webseiten sind wählerisch
  6. heise.de: Zero-Day-Exploit für Internet Explorer breitet sich aus
  7. http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf
  8. Google searches web's dark side. In: BBC News, 11. Mai 2007. 
  9. heise.de: Sophos: 30.000 neu infizierte Webseiten pro Tag.
  10. spiegel.de: Virenjäger Kaspersky: „[…] die Zeit der E-Mail-Viren ist vorbei. […] Heute braucht niemand mehr eine E-Mail, um einen Virus in Umlauf zu bringen. Kriminelle verteilen ihre Viren über gekaperte Web-Seiten: Da reicht schon der Besuch, um den Rechner zu infizieren. Sie verbergen ihre Programme in Multimediadateien und bringen die über Social Networks in Umlauf. Sie hinterlassen Links in Gästebüchern oder bei Wikipedia, und wenn man darauf klickt, fängt man sich etwas.“
  11. heise Security Zweifelhafte Antiviren-Produkte (25. Oktober 2008)
  12. Studie über gängige Infektionswege, CSIS, 27. September 2011
  13. Bundespolizei-Virus.de Drive-by-Downloads - schützen Sie sich