PC-Welt.de als Virenschleuder missbraucht

Das ist so eine Sache mit den IFrames. Jetzt hat es die PCWelt erwischt, und in der Folge wohl auch jede Menge gutgläubige Enduser, die mit schier grenzenlosem Gottvertrauen davon ausgehen, dass die Seiten renommierter Contentanbieter immer sauber sind; was leider nie der Fall war.

Wenn man IFrames grundsätzlich blockt (z. B. via NoScript), läuft die Cyberattacke ins Leere und der Spuk bleibt folgenlos.

Traurig ist da eher die Tatsache, das die PCWelt die Sache anfangs nicht ernst genommen hatte, und erst mit Verspätung das Problem angegangen ist. Immerhin ging es nicht um Larifari, sondern um ZBot, also einen Schädling aus der Königsklasse:

VirusTotal am 26.01. um 20.23 Uhr: https://www.virustotal.com/file/2abb3117f…sis/1359231780/

und zwei Tage später

VirusTotal am 28.01. um 14.11 Uhr: https://www.virustotal.com/file/7e37accdc…96e5a/analysis/

Zumindest gehört der PcWelt-Server jetzt wieder der PC-Welt. - Chapeau!

Zitat von Docc

die mit schier grenzenlosem Gottvertrauen davon ausgehen

Nein. der gemeine Anwender eines gewissen Biotops hegt diese Gedanken überhaupt nicht.
Diese Gedankenwelt ist ihm völlig fremd.

// Besteht ein besonderer Grund warum du diese These in letzter Zeit gehäuft postest? (Nein, ich suchs jetzt nicht raus) Stelle doch Windows-Nutzer nicht immer als grundsätzlich blöd dar, auch wenn du in summa recht hast. Sag doch einfach, wenn überhaupt: Der gemeine PC-Nutzer hat von dieser Problematik keine Ahnung.. Es gibt auch DAU's die gerade mal in der Lage sind LINUX oder andere "Biotope"zu nutzen. Das sagt aber nichts über deren Ahnung über Schadware aus. Wie auch, ist doch diese Minderheit eher weniger davon betroffen... Vielen Dank!

Hallo Docc,

Zitat von Docc

...
Wenn man IFrames grundsätzlich blockt (z. B. via NoScript), läuft die Cyberattacke ins Leere und der Spuk bleibt folgenlos.

reicht es dazu aus, in den NoScript-Einstellungen unter dem Reiter "Eingebettete Objekte" IFRAMES zu verbieten, oder muss man dann auch das fett gedruckte "Diese Einschränkungen auch auf vertrauenswürdige Websites anwenden" markieren, wenn man z.B. pcwelt.de in der NoScript-Positivliste hat, d.h. lag der IFRAME direkt auf pcwelt.de oder extern?

Wenn - in diesem Fall - PC Welt in der NS-Positivliste steht, mußt du diese Option aktivieren, um die IFRames-Blockade auch darauf anwenden zu lassen, sonst greift die Blockade für PC Welt nicht (wie aus dem Umkehrschluß des Textes für diese Option ja hervorgeht).

D.h. der Inhalt des IFRAME lag in diesem Fall auch auf PC-Welt.de und nicht extern auf einem Schadcode-Server?

Nochmal ganz konkret gefragt: Wenn PC-Welt.de bei NoScript auf der Positivliste steht und der Schadcode auf einem externen Server lag (z.B. virenschleuder.ru) und über einen IFRAME auf PC-Welt.de eingebunden wurde - kann der Schadcode dann aktiv werden, obwohl die (hier erfundene) Beispiel-URL virenschleuder.ru nicht auf der Positivliste steht?

Hier mal eine Kurzinfo zum IFRAME (Inline Frame):
http://de.wikipedia.org/wiki/Inlineframe

Wenn ich es richtig verstehe, kann man damit doch keine Scripting-Sperren wie NoScript umgehen, d.h. wenn im o.g. Beispiel PC-Welt.de auf der Positivliste steht und virenschleuder.ru nicht, kann virenschleuder.ru auch in einem IFRAME auch PC-Welt.de dann kein Scripting ausführen, oder? In meinen Augen lässt sich solch ein IFRAME daher nur dazu missbrauchen, dem User vorzuspiegeln, er befinde sich auf PC-Welt.de, und so Dateneingaben (z.B. Username und Passwort) zu fordern, die der User auf virenschleuder.ru direkt nicht machen würde.

Ich frage nur so genau, weil bei Auswahl der Option "Diese Einschränkungen auch auf vertrauenswürdige Websites anwenden" ja auch z.B. Flash selbst für alle vertrauenswürdigen Sites auf der Positiv-Liste verboten wäre, d.h. selbst für vertrauenswürdige Sites gibt es dann nur noch HTML und JavaScript und weder Flash noch Java noch andere Plugin-Inhalte - es sei denn, man schaltet diese global auch für nicht vertrauenswürdige Sites frei, was aber wohl wenig Sinn macht.

Oder habe ich die Meldung nicht richtig verstanden und die Hacker haben nicht nur das IFRAME-Tag, sondern den Schadcode direkt auf den PC-Welt.de-Server gepflanzt?

Also, das was ich lese ist, daß auf dem Server (nach meiner Lesart: von PC Welt) ein Script manipuliert wurde, daß ein IFrame generierte (wäre dann wohl auch auf demselben Server?) Nichts genaues weiß man nicht, spekulieren ergibt keine Sicherheitshinweise.

Aber: Wenn in NS das Platzhaltersymbol aktiviert ist, dann hat man ja immer noch die Möglichkeit, den betreffenden Inhalt zuzulassen - egal in welcher NS-Zone sich eine Seite befindet. Und dann macht das sehr wohl Sinn (ist wie Sicherheit meistens etwas umständlicher, aber praktikabel).

Hallo Cosmo,

ich glaube in der PC-Welt-Sache bald, dass dies nur User ohne NoScript o.Ä. betraf, die Scripting pauschal für alle Websites aktiviert haben. Durch den IFRAME auf PC-Welt.de wurde der Browser dann nur automatisch und unbemerkt auf die schadhafte Website gebracht, anstatt dass der User sie selbst besucht hätte (was allerdings über ein Fake-Banner mit einem vermeintlichen Superschnäppchen auch zu machen gewesen wäre, da hätten sicher auch viele drauf geklickt, aber eben nicht alle PC-Welt-Besucher)?

Viel gefährlicher wäre es, und vielleicht war es ja auch tatsächlich so, wenn der gesamte Schadcode auf PC-Welt.de gelegen hätte - dann wären selbst User mit NoScript betroffen, sofern sie PC-Welt.de in der Positivliste haben.

Zitat von Boersenfeger

Besteht ein besonderer Grund warum du diese These in letzter Zeit gehäuft postest?ä

Jetzt könnte wirklich ein Missverständnis aufgetreten sein.

Wenn ich mich jetzt in irgend ein Geschäft begeben würde um einen PC / Laptop zu erstehen würde ich bei dem installierten, aktuellen Biotop und dessen Desktop verdammt alt aussehen. (Ich kenne es wirklich nicht).

Jetzt subtrahiere ich einmal die hier hier gegebenen Kenntnisse über die Sicherheit, es gibt ja immer noch keinen Beipackzettel.

Ich bin den ganzen Gefahren hilflos ausgeliefert und genau da beginnt mein Kritikpunkt. Mein OS sollte mich schützen und nicht ich das OS. Ich fand es z.B. ganz schrecklich als Microsoft einen Virenscanner publizierte. Die Firma stellte fest, die Produkte sind verletzbar und bereinigte sie dennoch nicht, sondern erstellte ein Feigenblatt.

Zitat von dark_rider

Viel gefährlicher wäre es, und vielleicht war es ja auch tatsächlich so, wenn der gesamte Schadcode auf PC-Welt.de gelegen hätte - dann wären selbst User mit NoScript betroffen, sofern sie PC-Welt.de in der Positivliste haben.

Das ist ein schlagendes Beispiel dafür, was viele Benutzer bei NS nicht kapiert haben: Sie fragen sich nur, wie kann ich für diese oder jene Seite Scripting und Plugins freigeben. Viele verstehen aber nicht, daß die Gretchenfrage lauten muß: Muß ich für diese oder jene Seite Scripting überhaupt freigeben (entgegen einem extrem weit verbreiteten Gerücht funktionieren nämlich viele Seite auch ohne Scripting) und dann vor allen Dingen: Vertraue ich dem Anbieter (nicht nur, aber auch in Bezug auf seine Kompetenz und Zuverlässigkeit, sein Webangebot vor Angriffen zu schützen). Und dann muß die kategorische Vorgehensweise so aussehen, daß nur bei zweimaligem unzweifelhaftem JA Scripting freigegeben wird - anderenfalls im Zweifelsfall die Seite ignoriert wird, wenn sie ohne aktive Inhalte nicht funktioniert. Dazu braucht es allerdings auch eine Portion Selbstdisziplin.

Zitat von dark_rider

Viel gefährlicher wäre es, und vielleicht war es ja auch tatsächlich so, wenn der gesamte Schadcode auf PC-Welt.de gelegen hätte

Der Schadcode lag ja nicht irgendwo. Und wenn es so gewesen wäre, hätte keinerlei Gefahr bestanden. Schadcode ist nicht aus seiner Existenz heraus gefährlich. Er wird erst dann gefährlich, wenn ihm irgendeine Instanz, z. B. der Enduser selbst, Java, JavaScript, Flash, ermöglicht, dass er ausgeführt werden kann. Ob der Payload dann auf der Maschine liegt, oder aus dem Netz auf die Maschine nachgeladen wird, ist dann ohne Belang.

Minimieren lässt sich die Gefahr, aber nicht gänzlich ausschalten. Es ist aber schon die halbe Miete o.g. Instanzen akribisch aktuell zu halten, und konsequent ein eingeschränktes Benutzerkonto und zusätzlich ab OS Vista die Benutzerkontensteuerung (UAC) einzusetzen.

Das Problem bei der o.g. Attacke war, dass via IFrame eine Umleitungen auf mindestens zwei Server (Ukraine sowie Brasilien/Argentinien) erfolgt sind.

Hallo zusammen,

Zitat von Cosmo

... Und dann muß die kategorische Vorgehensweise so aussehen, daß nur bei zweimaligem unzweifelhaftem JA Scripting freigegeben wird - anderenfalls im Zweifelsfall die Seite ignoriert wird, wenn sie ohne aktive Inhalte nicht funktioniert. Dazu braucht es allerdings auch eine Portion Selbstdisziplin.

da stimme ich voll zu. Ein "Mittelweg" noch, den NoScript anbietet: Eine URL nur temporär für die Dauer der Sitzung freigeben.

Zitat von Docc

... Das Problem bei der o.g. Attacke war, dass via IFrame eine Umleitungen auf mindestens zwei Server (Ukraine sowie Brasilien/Argentinien) erfolgt sind.

Dann war man mit NoScript aber ja doch auf der sicheren Seite - es sei denn, man hatte die besagten Server aus der Ukraine usw. auf der Positivliste

Was ich mich, wenn es tatsächlich so war, aber noch frage: Wenn die Hacker auf dem Server der PC-Welt Code manipulieren konnten - warum dann nur die Weiterleitung zu ihren Servern, statt den Schadcode direkt dort einzupflanzen?

Zitat von dark_rider

Ein "Mittelweg" noch, den NoScript anbietet: Eine URL nur temporär für die Dauer der Sitzung freigeben.

Was ist denn daran ein "Mittelweg"? Zugelassen ist zugelassen, Punkt Basta; die Scripte werden ausgeführt, Plugins - je nach Einstellung - zugelassen. Temporäres Zulassen ist kein "kleines bißchen Zulassen" (das läßt sich auch aus keinerlei Angabe in der NS-Dokumentation belegen), sondern ein ebenso vollständiges Zulassen wie das permanente Zulassen - mit dem einzigen Unterschied, daß die temporär zugelassenen Einträge beim Beenden der Browersitzung selbständig wieder aus der Positivliste entfernt werden. Ist man also nicht sicher, ob dem Anbieter wirklich vertraut (und dieses Wort kann man gar nicht fett genug unterstreichen) wird, ist auch temporäres Zulassen eine ohne Wenn und Aber falsche Entscheidung.

Hallo Cosmo,

ja, aber: Temporär aktivieren ist sehr wohl ein Mittelweg, Beispiel PC-Welt: Sagen wir, jemand hat die Site vor 6 Monaten besucht und wollte damals dort eine Funktion (z.B. irgend einen Online-Kalkulator) nutzen, die nur mit Scripting funktioniert. Damals gab er Scripting dort dazu temporär frei. Nun hat er auf Google etwas gesucht und kam kürzlich während des Virenbefalls wieder auf PC-Welt, um dort einen Forenbeitrag zu lesen. Scripting: Nicht aktiviert, weil damals nut temporär. Hätte er es damals hingegen dauerhaft aktiviert, hätte er sich nun womöglich den Virus dort eingefangen.

D.h. man reduziert das Risiko schon, wenn man nur bei einem von zehn Besuchen einer Site Scripting aktiviert hat, da - wie ja auch in diesem Beispiel - solche Sabotage-Aktionen von Kriminellen (Gott sei Dank) meist relativ schnell entdeckt und wieder beseitigt werden.

Genauso, wie es riskanter ist, 10x über eine rote Ampel zu fahren als einmal.

Ich sage auch nicht, daß temporäres Freigeben verkehrt oder sinnlos seien. Aber: es ist kein Mittelweg. Es ist eine Freigabe in dem Augenblick, in dem sie ausgeführt wird und sie wirkt bis zu ihrer Aufhebung genau wie eine dauerhafte Freigabe. Die Bezeichnung Mittelweg suggeriert etwas anderes (siehe meinen vorherigen Beitrag), und das ist falsch und irreführend.

Zu deinem Beispiel: Vor 6 Monaten wußtest du über die Vertrauenswürdigkeit genauso viel (oder wenig) wie in der vergangenen Woche - oder heute. Und sie hätte vor 6 Monaten ebenso kompromittiert sein können wie sie es in der vergangenen Woche war. Der einzige Unterschied ist, daß wir heute wissen, daß du vor 6 Monaten Glück gehabt hättest. Ich besuche die Seite sehr selten (in meiner Chronik finde ich sie nicht), aber soweit ich mich erinnere, braucht man dafür kein zugelassenes Scripting. Sollte mich meine Erinnerung nicht täuschen, gab und gibt es keinen vernünftigen Grund, es dort zu erlauben - ob nun temporär oder permanent ist völlig egal.

Hallo Cosmo,

Du sagst also: Es ist nicht riskanter, 10x über eine rote Ampel zu fahren, als einmal? D.h. die Wahrscheinlichkeit, mit dem kreuzenden Verkehr zu kollidieren und/oder von der Polizei erwischt zu werden, ist bei 1x genauso hoch wie bei 10x?

PS: Glaubst Du wirklich, ich bin so blöd und denke, "temporär" würde etwas anderes als "zeitlich befristet" bedeuten, d.h. mit NoScript gäbe man mit der Option "temporär" weniger Rechte für Scripte frei, als wenn man etwas dauerhaft freigibt? Mensch Leute - nicht jeder ist ein DAU, auch wenn es sicher viele davon gibt. Und nur, weil ich hier erst seit kurzer Zeit im Forum bin, heißt das nicht, dass ich all die Jahre vorher keine Erfahrungen gemacht habe und absolut null Ahnung habe. Ein Sicherheits-Guru bin ich aber natürlich auch absolut nicht - Du (oder Bernd) hingegen schon?

Der Vergleich hinkt, deswegen bin ich nicht darauf eingegangen und werde es nicht tun.

Wenn du weißt, was temporär bedeutet (daran hatte ich auch nie gezweifelt, daß die die Wortbedeutung geläufig ist), dann interpretiere auch nichts von wegen "Mittelweg" hinein. Falls du als Folge davon den Anschein erhältst, daß andere (ich) daraus den Eindruck gewinnen, daß du die temporäre Freigabe von NS falsch verstanden hast, so mußt du dir das selber anrechnen. Der "Mittelweg" war deine Antwort auf meine beide kategorischen Bedingungen für die Freigabe in NS - du hattest mich unmittelbar vor deiner Aussage zitiert -, und in dem Kontext war und ist der Begriff schlichtweg falsch.