Warum kann ich durch den Besuch einer Website einen Virus oder Trojaner bekommen?

16

Ich habe diese in letzter Zeit viel gesehen. Sie klicken auf den Link und sofort Trojaner. Es muss nichts heruntergeladen werden.

Wie ist das möglich? Kann ich die Links vor dem Besuch überprüfen, um sicherzustellen, dass ich nicht infiziert werde?

rauben
quelle
Mögliche doppelte: superuser.com/questions/13507/...
Hello71
Dies ist möglich, weil Webbrowser (wie der Internet Explorer) äußerst komplexe Software-Teile sind und obwohl sie gut geschrieben sind. Es gibt Fehler, die Hacker entdecken und die genutzt werden können, um ein Programm ihrer Wahl auf Ihrem Computer auszuführen, z. B. einen Trojaner.
Unixman83

Antworten:

14

Um zu beantworten, wie es möglich ist:

Die Site enthält ein Skript, das beim Laden der Seite ausgeführt wird. Dies ist es, was Ihren Windows-PC infiziert - ich bin mir jedoch nicht 100% sicher, ob der Code heruntergeladen oder nur ausgeführt wird. Diese Seite enthält ein Beispiel für die Vorgehensweise in einem Fall. Ein anfälliger Browser ist ebenfalls erforderlich, und praktisch jeder gängige Browser ist anfällig, da es sich lohnt, ein Targeting auf einer Vielzahl von Computern durchzuführen.

In den meisten Fällen werden Windows-PCs infiziert, wenn Benutzer als Administratoren und nicht als eingeschränkte Benutzer ausgeführt werden. Die Gründe dafür sind vielfältig. Wie Roger in seinem Kommentar hervorhebt, ist hier eher die Popularität als eine intrinsische Schwäche der Hauptfaktor:

Windows wird mehr ins Visier genommen, weil es beliebter ist. Einige sagen, dass Windows auch weniger sicher ist als Alternativen, aber ich muss sagen, dass es nicht so ist, wie Sie es hervorheben. Ich führe Linux zu Hause aus und wenn ein Trojaner unter meinem Benutzerkonto ausgeführt werden könnte, könnte er immer noch ziemlich viel Schaden an Dateien anrichten, die mir einiges ausmachen. Es könnte einfach nicht das System übernehmen.

Wenn Sie mit einem Benutzer mit eingeschränkten Rechten arbeiten, können Sie den Schaden einschränken, aber nicht unbedingt beseitigen.

Mit Vista und jetzt 7, die eine bessere Kontrolle darüber haben, was als Administrator ausgeführt wird, kann es vorkommen , dass diese Art von Websites weniger werden - allerdings nur, wenn die meisten neueren Betriebssysteme ausgeführt werden.

ChrisF
quelle
Vielen Dank. Es fällt mir schwer zu glauben, dass Ihr Browser automatisch heruntergeladen und ausgeführt werden kann. Was für ein Skript wäre das? JavaScript?
Rob
@Rob - Ja, es wird JavaScript sein, und es erfordert einen anfälligen Browser und einen Administrator.
ChrisF
Es gelang, sich über FireFox zu installieren. Soviel zum sichersten Webbrowser. fml
Rob
@Rob - Firefox ist seit einiger Zeit nicht mehr der sicherste Browser. Sobald es einen anständigen Marktanteil erreichte, begannen die Viren- und Trojaner-Autoren, nach Exploits zu suchen, da es sich lohnte. Wenn Sie "sicher" surfen möchten, wählen Sie den Browser mit dem niedrigsten Marktanteil;)
ChrisF
1
Leider habe ich Angst vor Veränderungen. Ich bleibe bei Firefox, da es eine Menge Addons gibt, die ich täglich benutze. Nochmal FML. Jetzt muss ich nur noch wissen, ob es möglich ist, zwei Antworten auf eine Frage zu akzeptieren.
Rob
8

Nun, wenn Sie eine Website öffnen, kann die Website den Browser anweisen, alle möglichen Dinge in seinem Namen zu tun. Im einfachsten Fall werden nur Text und Bilder zur Anzeige gesendet, es können jedoch auch kleine Programme gesendet werden, die vom Browser ausgeführt werden (in JavaScript, die in den Browsern integriert sind, oder mit einem Browser-Plugin wie Java oder Flash). .

Im Prinzip sollte es unmöglich sein, sich nur durch den Besuch einer Website anzustecken:

Während Browser Programme für von Ihnen besuchte Websites ausführen, sind diese Programme sorgfältig eingeschränkt, sodass sie nur "harmlose" Dinge ausführen können. In JavaScript können Sie zum Beispiel die Seite ändern, zu der das JavaScript gehört (da beide von derselben Website stammen, kann dies keinen Schaden anrichten), aber JavaScript darf keine Seite von einer anderen Website ändern (so dass eine miese Website Ihre nicht ändern kann Homebanking-Anzeige), und es kann möglicherweise nicht direkt auf Dateien auf Ihrem Computer zugegriffen werden.

Ähnliche Einschränkungen bestehen für die meisten Plugins (zumindest für Java und Flash). Dies wird im Allgemeinen als Sandboxing bezeichnet , da sich der Code im Wesentlichen in einer eigenen Box befindet, die von dem Computer isoliert ist, auf dem er ausgeführt wird. Insbesondere kann es keine Dateien auf Ihrer Festplatte lesen oder Programme für Sie starten, wie "normale" Programme, die auf Ihrem Computer ausgeführt werden.

Jetzt ist die Sache: Während Sie im Prinzip sicher sind, können Sie in der Praxis nicht sein. Der Grund ist, dass das Sandbox-System, wie alle Programme, Fehler aufweist. Manchmal erlauben diese Fehler einem Programm, die Sandbox zu "brechen" und den Browser oder die Plugins dazu zu bringen, Dinge zu tun, die es nicht tun darf. Diese Tricks können sehr aufwändig sein.

Beispiele:

  • Wie bei normalen Programmen kann die Implementierung des Browsers oder Plugins einen Pufferüberlauf aufweisen, der es einer Website ermöglicht, speziell gestalteten Code auszuführen, indem er als Eingabe an den Browser gesendet wird.
  • In alten Versionen von Suns Java-Plugin gab es eine Sicherheitslücke in Bezug auf die Sandbox. Die Sandbox hat den Zugriff auf alle Java-Funktionen, die einem Programm Schaden zufügen könnten, wie z. B. das Lesen oder Löschen lokaler Dateien, verboten (und erlaubt dies auch weiterhin). Während die Sandbox den Zugriff auf diese Funktionen über ein Java-Applet korrekt blockierte, ermöglichten Browser auch den indirekten Zugriff auf diese Funktionen über JavaScript (über eine Technik namens "Reflection"). Diese "Hintertür" war von den Entwicklern nicht ausreichend berücksichtigt worden und erlaubte es, die Sandkastenbeschränkungen zu umgehen, wodurch der Sandkasten zerstört wurde. Siehe https://klikki.fi/adv/javaplugin.html Informationen finden .

Leider gab es einige Sicherheitslücken in den Sandboxen von JavaScript, Java und Flash, um nur einige zu nennen. Es ist immer noch eine Art Wettlauf zwischen böswilligen Hackern, die diese Sicherheitslücken erkennen und ausnutzen, und guten Hackern und Entwicklern, die sie erkennen und beheben. Normalerweise werden sie schnell behoben, aber manchmal besteht die Gefahr einer Sicherheitslücke.

BTW: Die Sandbox ist der Grund , warum einige Java - Applets Pop - up eine „Haben Sie vertrauen dieses Applet“ Warnung beim Start: Diese Applets stellen Sie sie ihrer Sandbox zu lassen und ihnen den Zugang zu Ihrem Computer zu geben. Dies ist manchmal notwendig, sollte aber nur mit guten Gründen gewährt werden.

PS: Der Grund , dass ActiveX (mindestens frühe Versionen) war unsicher , so schrecklich ist , dass ActiveX hätte nicht eine Sandbox verwenden. Jeder ActiveX-Code von einer Webseite hatte vollen Zugriff auf Ihr System. Um fair zu sein, wurde dies in späteren Versionen (teilweise) korrigiert.

sleske
quelle
2

Ich erwähne dies, um Ihre letzte Frage zu Präventivmaßnahmen zu beantworten. Eine seltene Option ist die Verwendung einer virtuellen Maschine (was in Sicherheitskreisen häufig vorkommt). Es gibt ein paar kostenlose. Installieren Sie das Betriebssystem, den Browser und die Add-Ins in der virtuellen Maschine und speichern Sie den Status. Sie können dann zu einer beliebigen Site navigieren. Wenn Sie fertig sind, kehren Sie zu diesem gespeicherten Zustand zurück und alles, was nach diesem Zeitpunkt in der virtuellen Maschine passiert ist, wird verworfen. Es ist sehr einfach, wenn Sie erst einmal damit angefangen haben, kann aber eine leichte Lernkurve bedeuten.

Hinweis: Durch das Zurücksetzen des Status werden Änderungen an der virtuellen Maschine buchstäblich verworfen. einschließlich Browserverlauf, Cookies, Updates usw. In diesem Fall können Sie zu diesem Status zurückkehren, Updates anwenden und einen neuen Status speichern. Dasselbe kann für alles getan werden, was Sie behalten möchten. Nichts davon betrifft Ihren tatsächlichen Computer, nur die virtuelle Maschine.

Ioan
quelle
Das ist nicht wirklich praktisch. Noscript mit Firefox ist VIEL besser.
Unixman83
1
Tatsächlich ist es vom Standpunkt der Sicherheit aus sehr praktisch, was gefragt wurde. NoScript deaktiviert das Laden von JavaScript standardmäßig, mit Ausnahme der von Ihnen zugelassenen Websites. Es gibt andere Angriffsvektoren. Ohne Hilfe kann es mühsam und frustrierend sein, das Richtige zu tun. Die VM verhält sich wie eine Sandbox, ermöglicht das regelmäßige / vollständige Durchsuchen und bietet eine einfache / schnelle Wiederherstellung. Sie müssen die VM nicht für vertrauenswürdige / bekannte Sites verwenden, wenn Ihr Desktop gesperrt ist, sondern nur für neue / fragwürdige. Dieser Thread ist auch 2 Jahre alt ...
Ioan
Nur 5% der realen Angriffsvektoren sind erfolgreich, wenn Skripte deaktiviert und Plugins deaktiviert sind. also mit NoScript. Viele Websites funktionieren ohne aktivierte Skripts.
unixman83
1
Das ist in Ordnung, ich erwähnte, dass es nicht allgemein verwendet wird und gewöhnungsbedürftig ist. Abwahlen, weil Sie eine andere Lösung mögen, ist falsch. Die Antwort ist nicht falsch. Sie sollten besser Ihre eigene Antwort hinzufügen oder eine andere wählen, die Sie bevorzugen. Zumindest verstehe ich das Abstimmungssystem so, dass es funktioniert.
Ioan