Ihr habt es heute gewiss schon alle gelesen:
Infizierte Joomla-Server verteilen Erpressungs-Trojaner TeslaCrypt
Vergesst jetzt bitte mal für einen kurzen Moment die gemeldete Tatsache, dass es diesmal Joomla ist, das massenhaft gecrackt wurde. Es könnte jede andere populäre Software für den Betrieb einer Website sein. Bei nächsten Mal ist es gewiss wieder WordPress oder eines der häufig eingesetzten Systeme für Webforen – nur die trolligsten Trolle des Heiseforums lassen sich von solchen basalen Schlüsselreizen füttern. Joomla hat inzwischen zwar eine tendenziell eher gute Codequalität (wenn man mal von einigen Plugins absieht), aber es ist eben auch sehr komplex (und vor allem: ungleich komplexer als ein WordPress oder ein einfaches Webforum), so dass sich leicht Fehler und ausbeutbare Lücken einschleichen können. Die Komplexität von Software ist das genaue Gegenteil von ihrer Sicherheit. (Die letzte Aussage bitte so lange lesen, bis sie sitzt! Dieses Wissen zu haben, hilft bei vielen technischen Entscheidungen.)
Und dann stellt euch in diesem kurzen Moment, in dem ihr die von Journalisten angebotene Ausrichtung eurer Aufmerksamkeit einfach abgetan habt, einmal die Frage, die Heise Online in seinem nicht sonderlich informativen Artikel gar nicht erst aufwirft und erst recht nicht beantwortet, obwohl sie für die meisten Menschen wohl das Wichtigste wäre: Wie kann man sich davor schützen, dass der Computer von Kriminellen über den Webbrowser übernommen wird?
Die von Journalisten meist verweigerte Antwort darauf ist verblüffend einfach.
In beinahe allen¹ Fällen einer Schadsoftware-Auslieferung über den Browser kann man sich – neben der ausschließlichen Benutzung eines aktuellen Browsers, der wegen behobener Fehler weniger Angriffsfläche für derartige Verbrecher bietet – durch »Click to Play« für Plugins und die Deaktivierung von Javascript vollständig absichern. Das immer noch viel zu selten verwendete Browser-Addon NoScript ist da eine Rundum-Sorglos-Lösung, die es sehr einfach macht, das Privileg einer Codeausführung nur bestimmten Websites zu geben.
Es ist nämlich eine unfassbar dumme Idee, jeder dahergelaufenen Website in einem anonymisierenden, technischen Medium das Privileg einzuräumen, Programmcode im Browser auszuführen. An sich sollte der Respekt vor der eigenen Privatsphäre es schon verbieten. (Wer nicht sofort versteht, was Javascript mit seiner Privatsphäre zu tun hat, möge diesen Test einmal mit und einmal ohne Javascript machen.) Aber angesichts der gegenwärtigen Internetkriminalität sollte man mit diesem Privileg so sparsam umgehen, wie es gerade noch erträglich ist.
Ich vertraue der großen Mehrzahl der Websites und ihren Machern jedenfalls nicht. Meine Haltung ist dabei stets: Wenn mir die Website ohne Javascript nichts zu sagen hat, dann wird sie mir auch mit Javascript nichts zu sagen haben. Zum Glück treten Probleme mit völliger Unbenutzbarkeit und Unlesbarkeit beinahe nur bei Vollidioten und (neuerdings) bei Internet-Angeboten von Presseverlegern auf.
Allerdings drängt sich da sofort eine weitere Frage auf: Wenn das Nichtzulassen von Javascript so eine elementare und wirksame Sicherheitseinstellung ist, warum macht der Browser das dann nicht standardmäßig. Und warum weist Heise Online (oder ein beliebiges anderes journalistisches Produkt) nicht deutlich darauf hin, am besten mit einer kleinen Anleitung für völlig kenntnislose Anwender?
Nun, zum ersten Punkt fragt einfach das Browserprojekt eures Vertrauens! Chrome ist von Google, dem größten Reklamevermarkter des Internet, der für die Distribution seiner meist unerwünschten Inhaltevergällung und für das Tracking der Leser vollständig auf Javascript setzt, so dass klar ist, welche Entscheidung Google trifft: Der Nutzer mit seinem Schaden ist nachrangig, wichtig ist das eigene Geschäft. Der Firefox existiert in einer erschreckenden bis erstickenden Abhängigkeit von Google, so dass die dort getroffene Entscheidung in ihrer Motivation ebenfalls klar ist.
Der contentindustrielle Presseverlagsbetrieb im Web befindet sich in einer ähnlichen Abhängigkeit von der beinahe ausschließlich über Javascript realisierten Distribution von Reklame. Von daher ist eine Aufklärung der Leser über elementare Sicherheitseinstellungen mit einer Beschädigung des eigenen Geschäftsmodelles verbunden und unterbleibt deshalb praktisch immer.
Versteht mich jetzt bitte nicht falsch. Ich beschreibe das, ohne dass ich es mit einer Wertung verbinde. Die Motivation sowohl der großen Browserprojekte als auch der werbefinanzierten Presseverlagsangebote im Web ist völlig nachvollziehbar und verständlich. Niemand sägt den Ast ab, auf dem er sitzt. Was im Ergebnis herauskommt, ist eine schlechtere und gefährlichere Welt für uns alle. Die Äste, auf denen viele sitzen, werden aber auch nicht stabiler…
Die Abhängigkeit des gesamten »Apparates« von der Reklame im Web schafft Bedingungen, unter denen die Organisierte Kriminalität im Internet ihren Schaden anrichten kann und ihren Reibach macht. Nichts daran wird sich ändern, solange diese Abhängigkeit bestehen bleibt. Die Monetarisierung von Webauftritten über eingeblendete Werbung ist der Tod der Computersicherheit – und jene, deren Dateien in denen letzten Tagen mit einem Erpressungstrojaner unbrauchbar gemacht wurden und die jetzt bangend Banknoten der EZB gegen Bitcoin eintauschen und hoffen, dass sie wieder an ihre Fotos, Korrespondenz, Musik, Kontakte und Dokumente kommen; sie sind auch Opfer eines halbseidenen, gefährlichen und zutiefst unseriösen Geschäftsmodelles, das hoffentlich so schnell wie möglich an sein Ende kommt².
Es tut mir leid, dass ich euch dazu nichts schöneres sagen kann: Angesichts dieses gegenwärtigen Zustandes führt für euch – für dich, und für dich, und für jeden anderen – nichts daran vorbei, dass ihr euch selbst informiert, dass ihr wach und aufmerksam seid und dass ihr selbstverantwortlich und schlau handelt. Wenn ihr damit überfordert seid, wenn der ganze Technikkram euch so hirnt, dass ihr keine Chance seht, damit selbst klarzukommen, kann ich euch nur viel Glück mit eurem Freundes- und Bekanntenkreis wünschen, auf dessen Unterstützung und Hilfe ihr dann zurückgeworfen seid. Ich befürchte, viele Menschen werden damit nicht so viel Glück haben. Wenn die Menschen im Lesen und Schreiben nur so viele Kenntnisse hätten, wie sie in Informationstechnik haben, dann müsste man sie Analphabeten nennen³.
Die Browserprojekte und der Journalismus werden bis dahin die Strategie fahren, euch »gefühlte Sicherheit« anzubieten, um wenigstens Aktivität zu simulieren.
Der Journalist wird euch erzählen, dass ihr ein Antivirus-Schlangenöl braucht, um Computersicherheit herzustellen. Obwohl sich diese Softwaregattung bei aktuellen Angriffen regelmäßig als vollkommen nutzlos erweist; ganz im Gegensatz zur Abschaltung von Möglichkeiten, die jedem Gestalter und jedem Cracker einer Website Code im Browser ausführen lassen und ganz im Gegensatz zum Adblocker, der einen wichtigen Distributionsweg für Schadsoftware an der Wurzel unterbindet – beides wirkt bereits, noch bevor das Antivirus-Schlangenöl scheitern kann.
Auch die Browserprojekte versuchen es mit gefühlter Sicherheit. Firefox wird in Kürze auf Websites, die nicht TLS-verschlüsselt sind, standardmäßig Warnungen anzeigen, dass sie unsicher sind – das ist dann zum Beispiel auch hier der Fall. Vom viel größeren Sicherheitsproblem mit Javascript wird auf diese Weise erfolgreich abgelenkt, und das Geschäft Googles kann weitergehen. Koste es, was es wolle…
Deshalb: Fallt nicht darauf herein! Installiert euch NoScript für euren Browser! Installiert euch einen wirksamen Werbeblocker, der auch dort noch den wichtigsten Weg für Schadsoftware versperrt, wo ihr den Websites und ihren Machern so weit vertraut, dass ihr sogar ausnahmsweise Javascript gestattet. Ihr bewahrt euch damit vor Datenverlusten, Erpressungsversuchen und den meisten destruktiven »Spielereien« krimineller Zeitgenossen. Besser als eine lediglich »gefühlte Sicherheit« durch den Zauber unverstandener und regelmäßig wirkungsloser Software ist eine Haltung, die aktiv für die Sicherheit des Computers handelt. Zum Glück ist da in Sachen Webbrowser nicht so viel zu tun, denn fertige, Freie und kostenlose Lösungen warten darauf, dass sie von euch benutzt werden. (Allerdings ist manchmal auf die Webangebote von Vollidioten und Journalisten zu verzichten, die euch dazu zwingen wollen, Sicherheitssoftware für euren Browser abzuschalten, damit ihr Geschäft auf Kosten eurer Computersicherheit besser läuft. Glaubt mir: Es gibt Alternativen.)
Und das Beste daran: Es kostet nichts und macht generell das Web viel angenehmer.
Dazu könnt ihr doch gar nicht »nein« sagen, wenn ihr noch bei Troste seid! 😉
¹Es gibt keine hundertprozentige Sicherheit, und schon gar nicht durch nur eine einzige Maßnahme. Vor einigen Monaten gab es einen Angriff über einen Fehler im integrierten PDF-Anzeiger von Firefox, der sogar mit Linux funktioniert hat. Der Schutz dagegen war ähnlich einfach: Ein Adblocker. Denn die Schadsoftware wurde über Werbung in Websites verteilt.
²Ich bin optimistisch und gehe davon aus, dass der Werbemarkt im Internet binnen der nächsten zwei Jahre zusammenbricht; und mit ihm alle darauf basierenden Geschäftsmodelle. Ich habe Gründe für diese Prognose, aber diese sind so komplex, dass diese Fußnote sie nicht fassen kann. Komme es, wie es komme: Bis dahin haben wir den Salat.
³Mit Dank an ein staatliches Zwangsschulsystem, das heute die erwachsenen Menschen von morgen auf die Herausforderungen von gestern vorbereitet.
Huiii. Ich nutze Jommla, aber ich begnüge mich nicht damit, immer alles (Joomla und Erweiterungen) aktuell zu halten. Ich nutze noch ein paar weitere Möglichkeiten um auf einer sicheren Seite zu sein, z.B. ein Cron-Job, der jede Nacht das komplette Verzeichnis auf Veränderungen scannt und anzeigt, wenn Dateien gelöscht, verändert oder neu hinzugefügt wurden. Des weiteren nutze ich ein Script, das z.B. Remote-File-Inclusion und Superglobals-Dump über die URL bereinigt usw.
Absolute Sicherheit ist ne Utopie, aber man kann schon einiges machen um das meiste Zeug abzuwehren.
Trotzdem hatte ich gerade mal diese defines.php Dateien mit frischen verglichen – nichts zu beanstanden *holzklopf* 😀
Ich nutze ja immer noch uMatrix statt NoScript, auf dem Firmenrechner sogar ohne einen eigenen Werbeblocker – es ist erstaunlich, wie viel Werbung schon dieses kleine Ding wegfiltert, ohne ewig viele Filterlisten bemühen (und aktuell halten) zu müssen.
Was ich aber mal prima fände: Wenn hier keine Gravatare genutzt würden… 😉
Pingback: Hirnfick 2.0 » Datengefährdung dank Digitalcourage
Pingback: Chrome: Die Sicherheit ist nur »gefühlte Sicherheit« | Elias Schwerdtfeger