Auch wer sich etwas intensiver mit IT-Sicherheit beschäftigt, erlebt immer wieder mal eine Überraschung. Zum Beispiel diese: Aus dem Webbrowser heraus werden keineswegs nur die seit Jahren diskutierten Cookies auf der Maschine deponiert. Cookies erlauben das nützliche Speichern von Parametern über Web-Sessions hinweg. Und damit auch die Identifikation von Userverhalten und Identitätsmerkmalen. Wer das nicht möchte, kann die Einstellungen seines Browsers enger stellen oder von Zeit zu Zeit die Cookies löschen, auch wenn damit ein paar gewohnte Website-Defaults verschütt gehen.

Nun hat kürzlich heise.de auf einen Beitrag von Kate McKinley hingewiesen. Die richtet den Scheinwerfer auf die Local Shared Objects von Flash Player. Diese werden auf Macs, XP oder Vista (1)  abgelegt und entgehen wohl der Aufmerksamkeit der meisten User. Diese Objekte sind nicht geheim, aber problematisch. Laut einer Entwickler-Site können bequemer als per Cookie Daten abgelegt werden. Als User kann man über den Settings Manager auf der Webseite “Flash Player Help“ die Einträge ansehen und die Speicherzuteilung ändern.

Pikant: Wer in den Objekten herumstochert findet etwa auch ein File mPathyUserData.sol – in einem Folder Namens www.heise.de….

(1) C:\Users\xyz\AppData\Roaming\Macromedia\Flash Player

Ein Forscher der University of Alabama at Birmingham diskutiert die Hintergründe der chinesischen Spamkrise: Allzu häufig können Kriminelle dauerhaft ungestört agieren.

Gary Warner dokumentiert, dass 70% aller Spams von chinesischen Hosts versendet werden. Hier wäre es interessant, auch normalisierte Raten zu sehen. Selbstverständlich sind die absoluten Zahlen in grossen Ländern hoch. Immerhin erscheint auch die domain “ch” in den vorderen Plätzen von Warners Domain-Hitparade, wenn auch mit bescheidenem Volumen.

China stellt aber mit dem riesigen Spamvolumen ein Problem für die Welt dar und bürdet unbeteiligten Dritten erhebliche Lasten auf. Wenn Firmen oder Hochschulen wie die ETH Spamfilter betreiben, ist das aufwendig und kostspielig. Zudem bleiben auch immer wieder produktive Mails hängen. Wo nicht gefiltert wird, ist der Aufwand für Sachbearbeiter oder Selbstständigerwerbende enorm, wenn sie manuell Mail bewerten und sortieren müssen. Schliesslich richtet ein Teil der Mails mit Phising oder Malware direkt technischen und finanziellen Schaden an.

Warner identifiziert drei Verantwortliche, die selber nicht ins kriminelle Umfeld gehören, diesem aber Spielraum bieten. Internetregistrare und Provider reagieren nicht auf Beschwerden. Der Staat schaut zu. Verhältnisse, die auch die renommierte SANS kritisch kommentiert. Gary Warner kann immerhin auf einzelne Fälle etwa in Honkong hinweisen, wo durch internationale Zusammenarbeit Spammquellen trocken gelegt werden konnten.

Browsing Security 1 

Das Besuchen (DriveBy) von Websites ist seit längerem der wichtigste Infektionsweg, auf dem Malware in Computer gelangt. Im folgenden sollen die verschiedenen Stufen betrachtet werden, über die der Angriff verlauft. Dabei entsteht ein einfaches Schichtenmodell einer DriveBy Infektion.

Ein Schichtenmodell erleichtert die Risikobeurteilung und zeigt, dass Browsing Security nicht nur den Webbrowser betrifft. Es wird auch sichtbar, dass auf verschiedenen Ebene Abwehr- und Optimierungsmöglichkeiten bestehen.

Der Browser als Eingangsporte kann in ganz unterschiedlichen Szenarien erscheinen. Etwa auch mit Papierbrief, der zum Download eines Programms einlädt. Wir hier von einer Szenario kritischen Verletzlichkeit aus, wie sie bei Internet Explorer oder Firefox immer wieder bekannt werden. Was muss passieren, damit eine noch nicht gepatchte (und allenfalls gar nicht öffentlich bekannte…) Verletzlichkeit ausgenutzt werden kann?

Malware. Gefährliche Malware muss geschrieben und ausgewildert werden. Hier geht die Beliebtheit eines bestimmten Browsers in die Betrachtung ein: für Verletzlichkeiten wenig verbreiteter Browser wird weniger Malware geschrieben.

Kontaktpotential. Wenn nicht umgehend ein Patch bereit liegt muss auf einige Tage hinaus das Kontaktpotential der eigenen Maschinen mit malwarebestückten Websites einschätzt werden. Das Kontaktpotential ist die Überlappung zwischen der Verbreitung der Malware und dem Browsing Horizont der eigenen Maschinen. Der Browsing Horizont wird durch das Verhalten der User und durch allfällige Einschränkungen auf Firewall oder Proxy bestimmt. Üblicherweise entwickelt sich das Kontaktpotential nicht explosionsartig. Es ist wenig wahrscheinlich, dass vielbesuchte Websites behackt und stundenlang Tausende von Maschinen infizieren. Vorherrschendes Muster ist, dass eher marginale Websites über Wochen oder Monate hinweg anfällige Besuchermaschinen anstecken.

Firewall, Proxy. Sie können sowohl das Kontaktpotential durch Blocken von Traffic beschränken

Virenscanner. Der Fall einer öffentlich diskutierten ungepatchten Verletzlichkeiten gehört wohl zu den stärksten Szenen von Virenscannern, weil da mit Hochdruck an Signaturen für sich ausbreitende Exploits gearbeitet wird. Generell darf aber die Wirksamkeit von Virenscannern nicht überschätzt werden – und die Qualitätsunterschiede sind riesig.

Widerstandsfähigkeit, Resilienz. Wir gehen hier ja von der Existenz einer ungepatchten Verletzlichkeit aus. Wenn die Malware auf die Maschine gelangt, können auch Widerstandsmechanismen des Browsers und des Betriebssystems verhindern, dass sie sich installieren kann. Ein Beispiel wäre eine Buffer Overflow, der zwar ausgelöst werden kann, aber wegen Adress-Randomisierung in einer Sackgasse verläuft.

Userintervention. Häufig wird der Download lauffähiger Software vom Browser oder vom Betriebssystem als problematische identifiziert und dem User ein Dialog präsentiert. Stimmt der User dem Install entgegen seinen Interessen zu?

Kompromittierungstiefe. Während unter Adminrechten das ganze System potentiell zugreifbar ist, kann unter Standarduserrechten nur der Userkontext kompromittiert werden. Das ist zwar nicht harmlos (wenn es unentdeckt bleibt) – aber weniger gravierend als eine Kompromittierung des Systems selbst. Ein Löschen des Userkontexts entfernt die Malware; Rootkits können nicht installiert, Virenschutz und Firewalls nicht abgeschaltet werden.

Abschliessend kann festgehalten werden, dass die grosse Masse der Drive By Infektion nicht nach einem Epidemiemuster ablaufen, sonder eher wie das leise Rieseln von Schnee. Es darf auch nicht vergessen werden, dass ein wesentlicher Teil der DriveBy Infektionen (im weiteren Sinn) gar nicht auf einer Verletzlichkeit basieren, sondern auf Social Engineering. Den Usern wird erfolgreich ein Install angeboten.

Das Diagramm zeigt die verschiedenen Schichten, die eine Malware zwischen Produzent und dem Zielsystem durchläuft.