Mit den Tipps und Workshops im ADMIN-Magazin 03/2013 sichern Administratoren ihre Webserver und Netze gegen Angriffe ab: gegen Abhören sensibler Informationen, ... (mehr)

Automatisierte Updates

Einen anderen Ansatz verfolgt der Antivirus-Hersteller F-Secure mit seinem neuen Software-Updater. Kunden, die ihre Unternehmensrechner bereits mit der F-Secure-Cloudlösung Protection Service for Businesses (PSB) verwalten [23], können den Software-Updater nun zusammen mit dem Antivirus-Client auf die verwalteten Rechner ausbringen und auf diese Weise von zentraler Stelle aus dafür sorgen, dass keine veralteten Browser und Plugins eingesetzt werden. Die Liste der unterstützen Software [24] kann sich durchaus sehen lassen, denn neben den üblichen Verdächtigen wie Java & Co finden sich hier auch Kandidaten wie der Foxit Reader und der VLC-Mediaplayer.

Mit BLADE (Block all Drive-by-Download Exploits) entsteht gerade ein Projekt, das mit Unterstützung der National Science Foundation, des U.S. Army Research Office und des Office of Naval Research gegründet wurde. BLADE besteht aus einer Serie von Windows-Kernel-Erweiterungen, die versteckte Binärinstallationen während eines Drive-by-Angriffs erfolgreich verhindern sollen.

BLADE wird von den Initiatoren gerade ausführlich mit den am häufigsten eingesetzten Browsern und täglich neu auftauchenden Malware-Links getestet, dabei kamen in den vergangenen sechs Monaten offenbar auch einige Zero-Day-Angriffe zum Einsatz. Nach Angabe der Tester hat BLADE bisher 100 Prozent der Angriffe abgewehrt, zumindest lassen die Ergebnisse des Evaluation Lab darauf schließen, die regelmäßig unter [25] veröffentlicht werden. Verfügbar ist BLADE indes heute noch nicht, in der nächsten Phase soll es aber eine freie Version zum Download geben.

HTML5, NoScript & Co

Browsererweiterungen wie NoScript oder FlashBlock können natürlich ebenfalls helfen, einen Drive-by-Angriff zu verhindern. Allerdings nützen diese Plugins natürlich nichts, wenn man sie in einem veralteten Browser installiert. Außerdem ist ihr Einsatz nicht direkt gegen den Schadcode gerichtet, sondern deaktiviert Funktionen wie Javascript oder Flash einfach pauschal. Da viele Websites ohne Javascript praktisch unbenutzbar sind, sind diese Tools daher wohl eher für IT-Profis geeignet. Der kommende HTML5-Standard wird ganz sicher zu mehr Sicherheit beitragen, denn viele Plugins wie Flash zur Anzeige von Videos sind dann schlicht nicht mehr erforderlich, was die Zahl der Produkte mit Software-Sicherheitslücken reduziert.

Ein weiterer Ansatz zum Schutz der Clients besteht darin, nicht den lokal installierten Browser und andere Internet-Software zu verwenden. Stattdessen wird der Browser aus einer gekapselten Umgebung, zum Beispiel einer virtuellen Maschine gestartet. Alternativ verwendet man ein Live-Medium, zum Beispiel eine Linux-Live-DVD oder einen USB-Stick, und nutzt den dort installierten Browser. Gegen den Einsatz eines Live-Mediums spricht natürlich der durch den Reboot erforderliche Aufwand und die Tatsache, dass auch die Browser auf Live-CDs schnell veralten. Mit Browser in the Box bietet beispielsweise die Sirrix AG [26] eine Lösung an, bei der der Browser aus einer lokalen VirtualBox-VM gestartet wird. Die VM basiert auf einem gehärtetem Debian 6 Linux mit SELinux und aktuellem Firefox-Browser. Die Einplatzversion steht kostenfrei zum Download zur Verfügung, die Enterprise-Variante wird dagegen nur in Kombination mit einem Web-Gateway und einem Managementsystem ausgeliefert.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019