Sicherheitslücken
Die Surf-Falle (Teil 2)
Schädlicher Code lauert heute auf vielen bekannten und an sich harmlosen Web-Seiten. Cyber-Kriminelle nutzen neu entdeckte Browser-Bugs, um die Viren ohne das Zutun der Anwender auf ihre PCs zu schleusen. In diesem zweiten Teil zeigen wir Tools, mit denen Antiviren-Hersteller versuchen, auf diese neue Gefahren zu reagieren.
Den ersten Teil des Beitrags „Die Surf-Falle „ finden Sie hier.
Schutz: Zone Alarm Forcefield
Ganz gleich, ob es sich um eine Phishing- oder eine virenverseuchte Web-Seite handelt: Zone Alarm Forcefield soll es erkennen und den Besuch durch eine Warnmeldung verhindern. Tools wie Forcefield arbeiten mit einer Blacklist, die laufend aktualisiert wird, und analysieren, welcher Script-Code auf einer Website eingebunden ist. Die Besonderheit von Zone Alarm Forcefield ist eine Virtualisierungsebene. Der Anwender startet seinen Browser aus Forcefield heraus. Dabei erstellt das englischsprachige Tool gleichzeitig eine Kopie der Registry sowie einen abgeschotteten und verschlüsselten Bereich für die temporären Dateien des Browsers. Sollte eine Website über aktive Inhalte Änderungen an der Registry vornehmen, werden diese auf die Kopie umgeleitet. Nach dem Beenden des Browsers wird diese gelöscht. Unterhaltsam veranschaulicht der Hersteller das Prinzip der Kopie in einer Flash-Animation. Allerdings gilt: Downloads, die der Anwender selbst anfordert, sowie Cookies bleiben erhalten. Wer alle Spuren eines Surf-Ausflugs beseitigt haben möchte, startet den „Private Browser“ über den gleichnamigen Button. Das ist praktisch, da so etwa nur die Login-Daten dieses Ausflugs gelöscht werden; Daten, die man zuvor eingegeben hat, bleiben erhalten. Weiterer Vorteil: Das Tool verschlüsselt die temporären Dateien. Sollte sich auf dem Rechner bereits Spyware befinden, kann sie nicht auf die zuvor im Browser eingegebenen Daten zugreifen. Auch Keylogger sollen keine Chance haben, die Tastaturanschläge zu protokollieren oder Screenshots anzufertigen.
Schutz: Zone Alarm Forcefield
Ganz gleich, ob es sich um eine Phishing- oder eine virenverseuchte Web-Seite handelt: Zone Alarm Forcefield soll es erkennen und den Besuch durch eine Warnmeldung verhindern. Tools wie Forcefield arbeiten mit einer Blacklist, die laufend aktualisiert wird, und analysieren, welcher Script-Code auf einer Website eingebunden ist. Die Besonderheit von Zone Alarm Forcefield ist eine Virtualisierungsebene. Der Anwender startet seinen Browser aus Forcefield heraus. Dabei erstellt das englischsprachige Tool gleichzeitig eine Kopie der Registry sowie einen abgeschotteten und verschlüsselten Bereich für die temporären Dateien des Browsers. Sollte eine Website über aktive Inhalte Änderungen an der Registry vornehmen, werden diese auf die Kopie umgeleitet. Nach dem Beenden des Browsers wird diese gelöscht. Unterhaltsam veranschaulicht der Hersteller das Prinzip der Kopie in einer Flash-Animation. Allerdings gilt: Downloads, die der Anwender selbst anfordert, sowie Cookies bleiben erhalten. Wer alle Spuren eines Surf-Ausflugs beseitigt haben möchte, startet den „Private Browser“ über den gleichnamigen Button. Das ist praktisch, da so etwa nur die Login-Daten dieses Ausflugs gelöscht werden; Daten, die man zuvor eingegeben hat, bleiben erhalten. Weiterer Vorteil: Das Tool verschlüsselt die temporären Dateien. Sollte sich auf dem Rechner bereits Spyware befinden, kann sie nicht auf die zuvor im Browser eingegebenen Daten zugreifen. Auch Keylogger sollen keine Chance haben, die Tastaturanschläge zu protokollieren oder Screenshots anzufertigen.
Zone Alarm Forcefield befindet sich noch in der Betaphase. Auf unsrem Testrechner mit Windows XP verursachte das Tool mehrere Fehlermeldungen. Laut Hersteller ist der Einsatz unter Vista noch im experimentellen Stadium. Hier sind also ebenfalls Fehler zu erwarten. Die Betaversion ist kostenlos. Die Final wird Anfang 2008 zu einem Preis von 30 Dollar über erhältlich sein.
Website-Ratgeber: Siteadvisor
Bei den Treffern einer Suchmaschine wissen Sie oft nicht, ob Sie der Zielseite vertrauen und sie ansteuern können. McAfee Siteadvisor hilft, potenziell gefährliche Server rechtzeitig zu erkennen. Das Browser-Add-on gleicht die Ergebnisliste von Google und anderen Suchmaschinen mit einer Online-Datenbank ab. So ermittelt es, ob sich die Site durch den Versand von Spam oder die Installation von Spyware verdächtig gemacht hat, und gegebenenfalls Alarm schlagen. Das macht Siteadvisor bei jeder Website, die Sie besuchen. Das ist kein hundertprozentiger Schutz, hilft aber oft, die richtige Entscheidung zu treffen.
Bei den Treffern einer Suchmaschine wissen Sie oft nicht, ob Sie der Zielseite vertrauen und sie ansteuern können. McAfee Siteadvisor hilft, potenziell gefährliche Server rechtzeitig zu erkennen. Das Browser-Add-on gleicht die Ergebnisliste von Google und anderen Suchmaschinen mit einer Online-Datenbank ab. So ermittelt es, ob sich die Site durch den Versand von Spam oder die Installation von Spyware verdächtig gemacht hat, und gegebenenfalls Alarm schlagen. Das macht Siteadvisor bei jeder Website, die Sie besuchen. Das ist kein hundertprozentiger Schutz, hilft aber oft, die richtige Entscheidung zu treffen.
Verhaltensanalyse: Norton Antibot
Auch der beste Website-Filter kann das Eindringen von Schädlingen nicht vollkommen verhindern. Schlecht, wenn dann auch das klassische Antiviren-Programm nichts meldet, weil der Schädling ihm unbekannt ist. Hier sollen Schutz-Programme helfen, die Viren aufgrund Ihres Verhaltens erkennen. Die Tools überwachen also jeden Task. Verdächtig ist etwa ein Programm, dass Code aus dem Internet nachlädt, dabei mit einem Laufzeitpacker komprimiert ist und eventuell auch noch verschlüsselt daherkommt. Auch dann, wenn sich ein Task selbst löscht, nachdem er eine neue Datei erstellt hat, sollten die neuen Schutz-Tools aufhorchen. Denn das sind alles Verhaltensweisen, die für Viren typisch sind. Ein Beispiel für diese neue Programmkategorie ist Norton Antibot. Das Tool überwacht jede Aktion einer Anwendung. Verdächtig sind für Anti-bot beispielsweise Programme, die kein Fenster zeigen, eine Verbindung zum Internet aufnehmen und die Tastaturanschläge protokollieren. Solchen Code meldet und blockiert Norton Antibot. Es versteht sich nicht als Ersatz, sondern als Ergänzung zu einem vollwertigen Antiviren-Programm.
Auch der beste Website-Filter kann das Eindringen von Schädlingen nicht vollkommen verhindern. Schlecht, wenn dann auch das klassische Antiviren-Programm nichts meldet, weil der Schädling ihm unbekannt ist. Hier sollen Schutz-Programme helfen, die Viren aufgrund Ihres Verhaltens erkennen. Die Tools überwachen also jeden Task. Verdächtig ist etwa ein Programm, dass Code aus dem Internet nachlädt, dabei mit einem Laufzeitpacker komprimiert ist und eventuell auch noch verschlüsselt daherkommt. Auch dann, wenn sich ein Task selbst löscht, nachdem er eine neue Datei erstellt hat, sollten die neuen Schutz-Tools aufhorchen. Denn das sind alles Verhaltensweisen, die für Viren typisch sind. Ein Beispiel für diese neue Programmkategorie ist Norton Antibot. Das Tool überwacht jede Aktion einer Anwendung. Verdächtig sind für Anti-bot beispielsweise Programme, die kein Fenster zeigen, eine Verbindung zum Internet aufnehmen und die Tastaturanschläge protokollieren. Solchen Code meldet und blockiert Norton Antibot. Es versteht sich nicht als Ersatz, sondern als Ergänzung zu einem vollwertigen Antiviren-Programm.
Antibot lief auf unseren Rechnern problemlos. Der Hersteller räumt aber ein, dass das Tool noch etliche Fehlalarme auslöst. Anti-bot richtet sich somit eher an erfahrene Anwender, die in solchen Fällen abschätzen können, ob es sich tatsächlich um gefährlichen Code handelt. Wenn Antibot so weit verbessert ist, dass es kaum noch Fehlalarme gibt, soll die Technik übrigens auch in die Sicherheits-Suiten von Norton eingebaut werden. Norton Antibot kostet 30 Euro (für Windows XP und Vista). Den Namen des Tools f nden wir übrigens misslungen, da die Software nicht nur Bots, sondern auch andere Schädlinge findet.
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 1 von 2
Nächste Seite
