Flashback befällt die Mac-Welt – was Nutzer aller Systeme daraus lernen können
Flashback macht die Runde und befällt immer mehr Mac-Computer. Stand 09.04.2012 sind bereits über 670.000 Macs mit diesem Trojaner befallen, woran Apple durch eine viel zu späte Auslieferung eines Java-Updates keine geringe Schuld trägt. Mac OS X 10.5 und älter erhalten überhaupt kein Update mehr, Nutzer dieser Systeme sollten Java unbedingt deaktivieren, alle anderen schnellstmöglich aktualiseren. Ich möchte diesen aktuellen Fall zum Anlass nehmen, einmal generell über Browserplugins und die Sicherheit zu sprechen, denn das betrifft Nutzer von Windows und Linux ganz genauso.
Wenn uns Flashback etwas gezeigt hat, dann das Plugins ein potentieller Gefahrenherd sind und dass Schadsoftware kein ausschließliches Windows-Problem ist. Sicherheitslücken in Plugins sind alltäglich und die Auswirkungen dieser können verheerend sein. So soll Flashback beispielsweise Bankdaten und Passwörter ausspionieren.
Dabei kann man die Sicherheit – und das betrifft alle Systeme – deutlich erhöhen, wenn man ein paar ganz einfache Grundregeln befolgt:
1. Alle installierten Plugins sollten stets aktuell gehalten werden. Dies klingt selbstverständlich, ist es leider aber nicht. Das Überprüfen auf Updates für die installierten Add-ons in Firefox beispielsweise beinhaltet keine Überprüfung der Plugins wie Java oder den Flash Player. Gerade in Zusammenhang mit den Adobe-Plugins Acrobat und Flash Player gibt es häufiger Sicherheitsprobleme. Mozilla bietet mit dem Plugincheck eine einfache und kostenlose Überprüfung an, ob die installierten Plugins auf dem neusten Stand sind, was zumindest für die prominentesten Plugins funktioniert – was ja schon einmal viel wert ist. Dieser Plugincheck funktioniert übrigens nicht nur in Firefox, sondern auch in anderen Browsern wie Google Chrome oder dem Microsoft Internet Explorer. Diese Überprüfung sollte regelmäßig durchgeführt werden.
2. Plugins, welche nicht benötigt werden, sollten deaktiviert oder gar deinstalliert werden. Ein Blick in den Add-on Manager dürfte einige aktivierte Plugins offenbaren. Jedes aktivierte Plugin ist ein potentielles Einfallstor in den Browser und damit das System. Nichts anderes gilt auch für normale Erweiterungen. Wenn etwas nicht benötigt wird oder gar überhaupt nicht bekannt ist, was dies eigentlich macht, muss es in aller Regel auch nicht aktiviert sein. Mit der Deaktivierung respektive Deinstallation erhöht man nicht nur die Sicherheit, der Browser wird es auch mit einem geringeren Ressourcenverbrauch danken, wenn weniger Plugins / Add-ons dauerhaft geladen sind.
3. Die Punkte 1 und 2 schließen einander nicht aus. Auch deaktivierte Plugins müssen immer aktuell gehalten werden. Denn wenn Plugins deaktiviert sind, zieht das in der Konsequenz immer die Möglichkeit mit sich, diese irgendwann zu aktivieren. Und werden diese aktiviert, sollten sie auch aktuell sein.
Firefox wird voraussichtlich ab Version 14 zudem die Möglichkeit anbieten, Plugins erst bei Bedarf zu laden. Dies ist ein guter Kompromiss zwischen Sicherheit / Schonung der Ressourcen und Bedienbarkeit. Plugins laufen dabei nicht permanent und auf jeder Seite, müssen aber bei Bedarf auch nicht erst umständlich und global aktiviert werden.
Ein erfahrungsgemäß kritisches Plugin stellt das Plugin zum Betrachten von PDF-Dateien, insbesondere Adobe Acrobat, dar. Auf den Einsatz eines solchen kann auch gänzlich verzichtet werden. Mozilla hat mit pdf.js einen PDF-Reader auf HTML5- und JavaScript-Basis entwickelt, welcher den Einsatz eines Plugins obsolet macht – was eine potentielle Schwachstelle eliminiert. Dieser wird übrigens ebenso ab Firefox 14 standardmäßig mitgeliefert.
Dies alles stellt natürlich kein komplettes Sicherheitskonzept dar. Beispielsweise ist es unter Linux üblich, ein Benutzerkonto mit eingeschränkten Rechten zu verwenden, was sich auf Windows und Mac OS leider bislang nicht durchgesetzt hat – möglich ist es ohne Probleme. Die Behandlung eines solchen Sicherheitskonzeptes würde den Rahmen dieses Artikels aber sprengen.
Aktualisiert OS X nicht automatisch die Plugins, wie das z.B, bei Ubuntu der Fall ist?
Das wäre ja direkt ein Grund auf Ubuntu umzusteigen.
Also, so wie ich es verstanden habe, wird unter Windows seit Vista standartmäßig ein Nutzer mit eingeschränkten Rechten eingerichtet. Um Admin-Rechte zu bekommen muss man bei einem der aufpoppenden Fenster auf »ja« oder »weiter« oder »ok« klicken … oder so ähnlich.
Inwiefern diese Implementierung des Sicherheitskonzeptes viel bringt, geschweige denn dem Benutzertransparent zu erklären ist, wäre eine andere Geschichte.
So wie ich das verstanden habe, bietet dieser Flashfake-Trojaner auf einer infizierten Seite über ein Java-Applet ein gefälschtes Adobe Flash-Update an. Angeblich verlangt er beim Installieren sogar das Root-Passwort. Meiner Meinung nach ist das keine (Software)-Sicherheitslücke sondern beruht simpel und einfach auf der Unwissenheit des Benutzers.
Mehr als genau dieses Java-Applett aussperren kann Apple da auch nicht dagegen tun …
@Rockiger: Man sollte sich nie darauf verlassen, dass jedes Plugin automatisch aktualisiert wird. Ich habe meinen Mac gerade mal gestartet und siehe da: der Flash Player war nicht aktuell. Nach zehn Minuten wurde mir dann das Update schon von alleine angeboten, aber was ist bis dahin, was ist wenn ich dann als gestresster Anwender oder was auch immer jetzt keine Lust auf Updates habe und es „verschiebe“? Letzteres habe ich schon oft bei anderen erlebt. Ich besitze kein Linux-System, ich weiß nicht, wie es da mit den Plugins abläuft, aber eine Garantie hat man für die wenigsten Dinge im Leben. Kontrolle ist immer besser als Vertrauen wenn es um Sicherheit geht.
@Adoa: Unter Windows bist du in aller Regel mit einem voll ausgestatteten Administrator-Konto online. Die Benutzerkontensteuerung ist ein nett gemeinter Dialog, da wird aber eh immer auf Ja geklickt, womit das ein ziemlich wirkungsloser Schutz ist. Ich spreche wirklich von einem Konto ohne volle Administratorrechte. Aber das ist wie gesagt ein anderes Thema.
@Michael: Flashback / Flashfake nutzt eine Sicherheitslücke im Java-Plugin aus. Oracle hat diese Lücke bereits vor Wochen geschlossen, Apple liefert die Updates aber selber aus und hat dies nicht rechtzeitig getan. Nutzer aktueller Java-Versionen sind davor geschützt. Dazu müssen Nutzer „älterer“ OS X-Versionen (die noch nicht mal alt sind!) mit dieser Lücke leben ohne geschützt zu werden. Es ist also sehr wohl Apples Verschulden, dass dieser Trojaner diese Ausmaße annehmen konnte. Die Gefahr, sich durch „Drive-by“-Infektionen manipulierter Webseiten zu infizieren ist außerdem naturgemäß hoch.
Bei mir steht einmal wöchentlich das manuelle Prüfen meiner Plugins und Programme auf Updates an. Das ist für mich eine Selbstverständlichkeit.
Ich weiß meine Liste gar nicht zu interpretieren.
Wird ein deaktiviertes Plugin beim Plugincheck mit geprüft?
Meine Erweiterungen werden automatisch aktualisiert. Schließt das deaktivierte Erweiterungen mit ein?
Wird mich Firefox dann darauf aufmerksam machen, welches Plugin ich benötige?
Heißt das, dass ich den PDF-Exchange PDF Viewer durch pdf.js ersetzen kann. Und was konkret unterscheidet beide letztlich voneinander?
Das kann ich bestätigen, weil ich schon lange ein Administratorkonto habe und in einem eingeschränkten Konto unterwegs bin – ohne Probleme.
Sören und allen hier Mitlesenden wünsche ich noch einen schönen Tag. Hier in Solingen scheint die Sonne.
Also bei einem Linux (wie z.B. Ubuntu) stimmt das nicht, da werden alle Plugins automatisch aktualisiert.
apt-get update
apt-get dist-upgrade
Oder wenn das entsprechende Fenster aufpoppt einfach auf aktualisieren klicken.
Sehr schöner Artikel! Hab diesen Artikel mal zum Anlass genommen auch ein Artikel darüber zu schreiben!
http://karlchens-blog.blogspot.de/2012/04/der-flashback-trojaner-die-folgen.html
@Gerhard: Wöchentlich die Aktualität zu überprüfen ist wirklich vorbildlich. Ich muss zugeben, dass ich das selber viel seltener tu, weil ich oft einfach überhaupt nicht dran denke. Es ist mittelfristig auch bei Mozilla geplant, diese ganze Plugin-Überprüfung direkt in den Add-on Manager von Firefox zu integrieren, leider passiert auf dieser Baustelle derzeit nicht viel. Ich denke, davon würden sehr viele profitieren.
Die Frage, ob deaktivierte Plugins auch überprüft werden, ist eine sehr gute Frage, das musste ich selber erst testen. Die werden im Plugincheck leider nicht berücksichtigt. Ich vermute, das wird auch gar nicht möglich sein, da es sich ja um einen von Firefox externen Test handelt, die Webseite wird wohl nur aktivierte Plugins erkennen. Wenn dies der Grund ist, wäre das wieder ein Vorteil der Integration in den Add-on Manager, denn das würde in jedem Fall funktionieren. Deaktivierte Add-ons werden bei der Überprüfung auf Updates auch berücksichtigt.
Plugins bei Bedarf laden: Hier habe ich im Artikel einen gesonderten Beitrag dazu verlinkt, in welchem auch ein Screenshot zu sehen ist. Dort siehst du zwei Möglichkeiten, wie du die Plugins bei Bedarf aktivieren kann. Du wirst dabei nicht darauf hingewiesen, welches Plugin benötigt wird, sondern einfach dass Plugins benötigt werden.
PDF-Reader: Ja, das heißt, dass du den PDF-Exchange PDF Viewer ersetzen kannst. Der größte Unterschied zwischen pdf.js und anderen PDF-Readern ist, dass dieser komplett auf den Webtechnologien HTML5 und JavaScript aufgebaut ist. Das hat Vorteile wie weniger Ressourcenverbrauch und eine höhere Sicherheit, leider auch, dass er in der Qualität der Darstellung vermutlich nicht an dein aktuell verwendetes Plugin herankommt. Google Chrome hat ebenso einen integrierten PDF-Reader, mit dem ist pdf.js qualitativ vergleichbar. Das muss jeder für sich entscheiden, ob ihm pdf.js gut genug ist.
Ich hoffe, damit sind alle Fragen beantwortet. 😉
@stfischr: Was genau stimmt bei Linux nicht? Dein Kommentar steht doch zu keiner Aussage in Widerspruch, oder? 😉 Erfahrungsgemäß ist ein „einfach auf aktualisieren klicken“ aber doch nicht so „einfach“, das sieht man nicht nur bei Plugins, sondern auch schon beim Browser. Da weiß ich von vielen Anwendern, dass sie dann upaten, wenn ihnen danach ist und nicht dann, wenn der Browser meldet, dass er ein Update hat.
@Cyberspacy: Sehr schön. 😉
Hallo Sören,
ich habe jetzt das Add-on pdf.js installiert, weiß aber nicht, welche Einstellung ich jetzt an dieser Stelle vornehmen soll.
Eine technische Frage: Ich habe die Kommentare zu diesem Artikel sowohl per Email wie per RSS-Feed abonniert. Wie kann ich das Email-Abonnement deaktivieren?
Schönen Abend
Gerhard
Schau, dass pdf.js aktiviert ist und deaktiviere alle anderen PDF-Plugins. Dann sollte es egal sein, was an dieser Stelle eingestellt ist.
Das E-Mail-Abonnement habe ich dir eben deaktiviert.