Für die Darstellung von Inhalten, die nicht im HTML-Standard definiert sind, kann Firefox Plug-ins nutzen. Populär sind Plug-ins für die Anzeige von PDF-Dokumenten oder Flash Videos im Browser. Die Nutzung dieser Plug-ins ist jedoch ein Sicherheitsrisiko.
Firefox ab Version 14.0 bietet eine einfache Möglichkeit, die Gefahr durch Plug-ins zu reduzieren. Man kann unter der Adresse
"about:config" die folgende Variable setzen:
plugins.click_to_play = true
Dann werden externe Plug-ins nur aktiviert, wenn der Nutzer es wirklich per Mausklick erlaubt und
Drive-By-Download Angriffe sind nicht mehr möglich. Mit Firefox 19.0 wird diese Option standardmäßig aktiviert sein.
PDF Reader Plugins
Anwender sind relativ unkritisch gegenüber PDF-Dokumenten. Was soll beim Anschauen schon passieren? Nur wenige Surfer wissen, dass es mit präparierten PDFs möglich ist,
den ZeuS-Bot zu installieren und den Rechner zu übernehmen. 2008 gelang es dem
Ghostnet, die Rechnersysteme westlicher Regierungen, der US-Regierung und des Dalai Lama mit bösartigen PDFs zu infizieren. 2012 gelang es dem Trojaner
MiniDuke, mit bösartigen PDFs in die Computer von Regierungsorganisationen in Deutschland, Israel, Russland, Großbritannien, Belgien, Irland, Portugal, Rumänien, Tschechien und der Ukraine einzudringen. Über eine von Adobe als "nicht kritisch" eingestufte Sicherheitslücke wurde der Wurm
Win32/Auraax verteilt....
Nach Beobachtung des Sicherheitsdienstleisters
Symantec und
ScanSafe erfolgen die meisten Angriffe aus dem Web mit bösartigen PDF-Dokumenten. 2009 wurden für ca. 50% der Angriffe präparierten PDF-Dokumente genutzt (mit steigender Tendenz).
Einige PDF-Reader bringen Plug-ins für populäre Browser mit, die ungefragt installiert werden (z.B. Adobe Reader, Foxit Reader). Diese PDF Plug-ins sind ein Sicherheitsrisiko. Wenn ein solches Plug-in installiert wurde, können PDF-Dokumente in unsichtbaren Frames im Hintergrund geöffnet werden und ihre schädlichen Routinen unbemerkt entfalten.
Schutzmaßnahmen:
- Statt funktionsüberladener Monster-Applikationen kann man einfache PDF-Reader nutzen, die sich auf die wesentliche Funktion des Anzeigens von PDF-Dokumenten beschränken. Die FSFE stellt auf PDFreaders.org Open Source Alternativen vor.
- Für Windows werden Evince und Sumatra PDF empfohlen.
- Für Linux gibt es Okular (KDE) und Evince (GNOME, XFCE, Unity).
- Für MacOS wird Vindaloo empfohlen.
- Wenn die PDF Reader Plug-ins nicht deinstallierbar sind (keine Adminstrator-Rechte), können sie im Browser deaktiviert werden. Diese Funktion finden Sie im Addon-Manager unter "Extras -> Add-ons" im Bereich "Plug-ins". PDF-Dokumente sollte man vor dem Öffnen zu speichern und nicht im Kontext des Browsers zu betrachten.
- Außerdem sollte man PDF Dokumenten aus unbekannter Quelle ein ähnliches Misstrauen entgegen bringen, wie ausführbaren EXE- oder PAF-Dateien. Man kann einen Online PDF-Viewer nutzen, um PDF-Dokumente aus dem Internet zu betrachten ohne den eigenen Rechner zu gefährden.
Java-Applets
Es gibt eine Vielzahl von sinnvollen Java-Anwendungen. Im Internet spielt Java aber keine Rolle mehr (im Gegensatz zu Javascipt, bitte nicht verwechseln). Trotzdem installiert Oracles Java unter Windows ohne Nachfrage ein Browser-Plugin zum Ausführen von Java-Applets, die in Webseiten eingebettet sein können. Dieses Browser Plug-in ist in erster Linie ein Sicherheitsrisiko ohne Nutzwert und kann zur Installation von Trojanern genutzt werden [
1] [
2] [
3].
Der
(Staats-) Trojaner der italienischen Firma HackingTeam wird beispielsweise mit einer sauber signierten JAR-Datei auf dem Zielsystem installiert. Der Trojaner belauscht Skype, fängt Tastatureingaben ab, kann die Webcam zur Raumüberwachung aktivieren und den Standort des Nutzers ermitteln.
Als Schutz wird häufig die die komplette Deinstallation von Java empfohlen (
BSI,
DHS,
Fefe). Das ist Bullshit und nur sinnvoll, wenn man keine Java-Programme nutzt. Anderenfalls ist die komplette Deinstallation von Java eine unnötige Einschränkung für sinnvolle Anwendungen.
- Aktuelle Linux Distributionen verwenden in der Regel OpenJDK-6/7. Diese Java-JRE installiert KEIN Browser Plug-in. Es besteht also auch keine Gefahr, durch bösartige Java-Applets aus dem Internet den Rechner zu verseuchen.
- Unter Windows bietet die aktuelle Version von Oracles Java die Möglichkeit, die Plug-ins für alle Browser unter "Systemsteuerung - Programme - Java" zu deaktivieren.
Flash und Silverlight
Auch diese Plugins sind ein Sicherheits- und Privacyrisiko. Sie werden meist für die Darstellung von Videos im Web (Youtube) und Street View (Google) bzw. Street Side (Microsoft) genutzt.
Schutzmaßnahmen:
- Das Add-on NoScript kann diese Inhalte blockieren. Es wird ein Platzhalter angezeigt. Bei Bedarf kann man das Video mit einem Mausklick anschauen.
- Die Firefox Add-ons UnPlug oder DownloadHelper können Videos von vielen Websites herunter laden und in ein gebräuchlicheres Format für Mediaplayer konvertiert werden. Wer noch keinen passenden Mediaplayer installiert hat, kann den VideoLAN Player nutzen, der für alle Betriebssysteme zur Verfügung steht.
- Web Videos können mit Hilfe von Download Sites wie KeepVid oder ShareTube als FLV-Datei gespeichert und mit einem Mediaplayer angezeigt werden.
- aTube Catcher ist ein Tool für WIN, um Videos vor dem Ansehen lokal zu speichern.
Weitere Anwendungen
Neben PDF-Dokumenten können auch alle anderen Dokument-Typen für Drive-by-Donwload Angriffe verwendet werden. Um diese zu unterbinden, sollte man externe Anwendungen für Dateien nur nach Bestätigung durch den Anwender öffnen lassen. Anderenfalls können Bugs in diesen Anwendungen automatisiert genutzt werden.
Diese Einstellungen sind natürlich nur sinnvoll, wenn der Surfer kritisch hinterfragt, ob die Aktion wirklich dem entspricht, was er erwartet. Wer unkritisch bei jeder Nachfrage auf "Öffnen" klickt, muss sich nicht wundern, wenn sein Computer infiziert wird.