Zum Inhalt
Sie sind in der Kategorie Sicherheit
Kategorien: Blog · Web · Sicherheit

Montag, 12. Oktober 2009

Auch schon auf Malwareseite geschleust worden?

Tags: , , , , , , , , ,
Gestern wurde ich und ein paar andere Opfer einer DNS-Umleitung auf eine Malwareseite. Nach Aufruf der Seite des Opera-Info-Forums wurde ich auf eine Seite mit Werbung für einen Malwarescanner geschleust. Da ich aber diese Seite niemals direkt aufgerufen hatte, schaute ich in den Browserverlauf und siehe da, es standen dort folgende drin: getfree discounts****, bests pyware scanner15****.

Nach eingehender Analyse des Betreibers des Forums, Karsten Mehrhoff, ist das Forum und die Datenbank selbst sauber und enthält keinerlei Schadcode zur Umleitung auf Malware. Aber die Weiterleitung muss über in den Browser eingeschleustes Javascript stattgefunden haben.

Die Anfragen von mir und anderen kamen nämlich nicht mehr direkt über unsere IPs sondern einen russischen Proxy-Server, den aber niemand von uns benutzte.

Deswegen muss es sich um ein Problem bei der DNS-Auflösung gehandelt haben. Ich nehme stark an, es handelte sich entweder um DNS-Poisoning und/oder eine ARP-Attacke, sodass die Anfrage sonst wo hin geleitet wurde. Der Übeltäter könnte aber auch ein kompromittierter DNS-Server/-Cache beim Internetzugangsbetreiber sein.

Eine kann niemals sicher sein, ob sie auf der Seite landet, die sie als Domain aufruft. Das nächste Mal ist es vielleicht was ganz Illegales und dann wartet vielleicht schon der Staatsanwalt!? Oder eine landet auf einer Kinderpornoseite, die bei uns mit harten Mitteln bekämpft wird.

Was bin ich froh, dass mein PC sauber geblieben ist. Ein intensiver Scan mit verschiedenen Antivirus-Scannern gegen diverse Schadprogramme brachte nichts zutage.

Im Opera-Info-Forum steht weiteres zu der Attacke.

Verwandte Einträge

Kommentare

Kommentare als Feed

#1 Usul schrieb am 12.10.2009 22:10 folgendes:

> Eine kann niemals sicher sein, ob sie auf der Seite landet, die sie als Domain aufruft. Das nächste Mal ist es vielleicht was ganz Illegales und dann wartet vielleicht schon der Staatsanwalt!? Oder eine landet auf einer Kinderpornoseite, die bei uns mit harten Mitteln bekämpft wird.

Wieder mal ein schönes Beispiel, wie schwachsinnig die Denke derer ist, die Gesetze erlassen, aber keine Ahnung haben. Dabei wäre die Lösung so einfach: Das Aufrufen von Webseiten bzw. Links sollte NIEMALS strafbar sein - einfach weil man auf welchem Weg auch immer durchaus mal aus Versehen da landen kann. Begebenheiten wie diese zeigen mal wieder, das auch Profis niemals sicher sind. Aber wahrscheinlich wird das von den Gesetzgebern dann mit "bedauernswerten Einzelfällen" abgetan - und überhaupt, man muss ja nicht ins Internet gehen ...

#2 Gunter schrieb am 13.10.2009 16:26 folgendes:

Ist es denn möglich, dieses Szenario auch so zu denken, dass sich ein Proxy dazwischenschaltet und an die eigentliche gewünschte Seite weiterleitet, ohne dass man (frau) es merkt und so ein blöde Werbeseite kommt? Das wäre ja eine Attacke wie "man in the middle" (sorry, "woman in the middle" ist mir nicht geläufig) ;) Tür und Tor geöffnet.

Und die Gretchenfrage: Was kann man (frau) mit Opera dagegen tun?

Glückauf! Gunter

#3 GwenDragon schrieb am 13.10.2009 17:31 folgendes:

@Gunter

>Was kann man (frau) mit Opera dagegen tun?

Nix, denn wenn Opera bei der Auflösung des Domainnamens (für Menschen lesbar) die gefälschte IP (für Menschen unlesbar) bekommt, wird es dort hin surfen.

Das ist genauso als würden böse Menschen Straßenschilder und Hausnummern austauschen und auch noch Menschen mit gefälschten Papieren dort wohnen lassen. Du könntest dann auch nicht wissen, ob Lisa Müller im Zwergweg 19 nicht vielleicht doch Gerda Zwiebel im Zergweg 9a ist. Na gut, Straßen lassen sich mehr oder weniger ortsgenau identifizieren, notfalls per Navi.

Verhindern kann es in Zukunft wohl nicht, aber vielleicht abmildern. Wenn DNS-Server DNSSec anwenden, was wohl auch in den nächsten Jahren kommen wird. DNSSec ist eine Erweiterung der DNS-Serverstruktur, wo der DNS-Server per Signatur bestätigt, dass die Inhalte korrekt sind. Allerdings hat auch DNSSec Schwachstellen wie Wikipedia schreibt.

Weiteres zu DNSSec: <http://www.denic.de/domains/dnssec.html>, <http://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions#Sicherheitsrelevante_Schwachstellen_von_DNSSEC>

↑Blogeintrag

Kommentar für Blogeintrag

Vorschau des Kommentars

Kommentar

Mit * gekennzeichnete Felder müssen angegeben werden.



(Nur Text ohne Formatierung möglich)

Hinweis zum Datenschutz

Falls es Probleme mit Kommentaren/Trackbacks gibt, bitte ich um eine Beschreibung per E-Mail.

TrackBack-URL: http://www.gwendragon.de/blog/Web/Sicherheit/opfer-opera-info-forum.html/trackback

↑Blogeintrag