B. Brandel
In der Computerzeitschrift c't (Heft 25/2002, S. 100 ff.) werden extrem gefährliche Sicherheitslücken in Microsofts Internet Explorer aufgezeigt. Ähnliche Probleme gibt es mit Microsoft Outlook/Outlook Express. All dies bestätigt leider die Erfahrungen des URZ mit diesen beiden Software-`Produkten'; nicht ohne Grund empfehlen wir den Internet Explorer nur für ausgewählte Anwendungen und raten von der Nutzung von Outlook/Outlook Express strikt ab, teilweise leider mit mäßigem Erfolg. Ziel dieses Artikels ist es nun, Sie von den Gefahren dieser beiden Programme und vom notwendigen Umstieg auf bessere und sicherere Software wie Netscape 7.0, Konqueror und Opera zu überzeugen.
In der aktuellen Ausgabe der Computerzeitschrift c't http://www.heise.de/ct/02/25/100/ kommt der Autor Jürgen Schmidt auf Grund schwer wiegender Sicherheitslücken im Microsoft Internet Explorer und in Microsoft Outlook zu folgendem vernichtenden Urteil, das die Erfahrungen des Universitätsrechenzentrums bestätigt:
Die Trustworthy-Computing-Kampagne, mit der Sicherheit bei Microsoft einen höheren Stellenwert bekommen sollte, war nur ein inhaltsleerer Marketing-Gag. An der (Un-)Sicherheit vor allem von Outlook/Outlook Express und dem Internet Explorer wurde nichts verbessert. Die Frequenz, mit der neue Sicherheitslücken in Microsoft-Produkten gefunden werden, hat sich sogar erhöht.
Trauriger Spitzenreiter der Bug-Charts ist nach wie vor Microsofts Internet Explorer, der zum Standard-Browser der meisten Internet-Nutzer avanciert ist - und zum größten Sicherheitsrisiko. Zwischenzeitlich führte Thor Larholm auf seiner Website http://www.pivx.com/larholm/unpatched/ bis zu 32 (momentan sind es `nur' 19) nicht behobene Sicherheitslücken auf. Bitte überzeugen Sie sich selbst, dass diese Bugs in Ihrem Internet Explorer funktionieren!
Den vorläufigen Höhepunkt markiert ein von Andreas Sandblad aufgezeigtes Loch, das es erlaubt, beliebige Kommandos auf dem Rechner eines Surfers auszuführen. Das zuletzt entdeckte Sicherheitsloch im Internet Explorer gefährdet nicht nur Daten auf dem Rechner des Surfers, sondern auch in lokalen Netzen.
Für Lehrstühle ist dieses `Feature' besonders effektiv: Es genügt, wenn ein Mitarbeiter mit seinem gewissenhaft auf aktuellstem Patchstand gehaltenen Internet Explorer 6 auf eine mit bösartigem JScript-Code versehene WWW-Seite zugreift. Durch seine Schreibrechte auf dem gemeinsam genutzten Lehrstuhlverzeichnis und eventuell auch auf Rechnern von Kollegen, kann das Skript binnen kürzester Zeit die gemeinsame Arbeitsgrundlage zerstören und damit den Produktionsbetrieb nachhaltig lahm legen. Dagegen schützt i.d.R. auch keine Firewall.
Der am 20.11.2002 von Microsoft herausgegebene Patch (MS02-066) schließt eben nicht `alle bekannten sowie neu entdeckte Sicherheitslücken', sondern lässt immer noch 19 (s.o.) offen.
Auch wenn Microsoft diese Lücken ebenfalls schließt, ist die Gefahr noch längst nicht vorbei. Die Erfahrungen mit Nimda und Code Red haben gezeigt, dass selbst auf Servern nach Monaten Patches nicht überall installiert sind - ganz zu schweigen von ungepatchten Endanwender-PCs. Der Internet Explorer ist und bleibt ein massives Sicherheitsrisiko - insbesondere in Universitäts- und Unternehmensnetzen.
Besonders unsicher sind auch die leider sehr beliebten E-Mail-Programme Outlook Express (Teilkomponente des Internet Explorers) und Outlook, da diese durch ihre enge Kopplung bzw. Einbindung in den Internet Explorer bzw. in Microsoft Office automatisch durch deren Sicherheitslücken mitgefährdet sind.
Es ist nur eine Frage der Zeit, wann der nächste Exploit in Microsofts Web-Server, dem Internet Information Server (IIS) auftaucht. Diese Lücke benutzt dann ein Wurm, um gefährlichen JScript-Code auf tausende Internet-Sites im ganzen WWW zu verteilen. Unrealistisch? Denken Sie an Code Red oder Nimda, die genauso vorgingen. Sie schauen sich eine der infizierten WWW-Seiten an, das dortige Skript infiziert Ihren PC und verbreitet sich über Ihr Outlook-Adressbuch weiter. Sie haben dann den Schaden, nicht Microsoft!
Nahezu alle Virenschäden an der KU traten bei Outlook- und Internet-Explorer-Nutzern sowie auf dem IIS-Webserver auf. Fast alle Viren und Würmer können Sie sich nämlich durch infizierte Office-Dokumente oder über Internet-Explorer-Schwachstellen holen! Auch der Hauptverbreitungsweg per E-Mail führt über das Adressbuch von Microsoft Outlook/Outlook Express.
Daher die dringende Bitte des URZ: Verzichten Sie unbedingt auf Outlook und Outlook Express! Vermeiden Sie weitestgehend den Internet Explorer! Sie minimieren dadurch Ihre eigene Ansteckungsgefahr und auch die Weiterverbreitung an Dritte! Datenverluste und Imageschäden können fatale Folgen haben. Ihre Korrespondenzpartner sind sicher nicht begeistert, wenn sie durch Sie Viren erhalten und wirtschaftliche Schäden erleiden, für die Sie u.U. haften müssen! Ersparen Sie sich und dem Universitätsrechenzentrum schlaf lose Nächte und sehr viel unnötige Arbeit!
Die aktuellen Sicherheitslücken können Sie an Ihrem PC unter
gefahrlos, aber eindrucksvoll ausprobieren.
Fans des Internet Explorers führen als Ausrede für dessen Sicherheitslücken den Monokultureffekt an: Hacker und Virenprogrammierer wollten vor allem den verbreitetsten Browser infizieren. Dieses Argument ist aber aus folgenden Gründen wenig wert:
Netscape, der frühere Marktführer im Bereich der Web-Browser, war nie so anfällig wie heute der Internet Explorer.
Der Internet Explorer hat im Gegensatz zu den Konkurrenzprodukten massive konzeptionelle Schwächen: ActiveX und Active Scripting, die Hauptursachen der meisten Sicherheitsprobleme, gibt es bei Netscape, Mozilla, Opera und Co. nicht.
Microsoft hat im Internet Explorer das vergleichsweise harmlose JavaScript völlig unnötigerweise mit für WWW-Browser sehr gefährlichen Sprachelementen von VBS aufgebläht.
Eine Möglichkeit, die gefährlichen Funktionen zumindest beim Surfen im Internet abzuschalten, hat Microsoft nicht vorgesehen: Active Scripting gibt es entweder ganz oder gar nicht. Das klassische JavaScript von Netscape hingegen ist viel restriktiver: Es erlaubt keinen direkten Zugriff auf lokale Dateien des Rechners. Außerdem gibt es bei Mozilla & Co. detaillierte Einstellungsmöglichkeiten, was JavaScript-Skripte dürfen (siehe c't, Heft 25/2002, S. 106 ff.) und was nicht.
Das gefährliche ActiveX gibt es nur beim Internet Explorer. Die anderen Browser stellen dieselben Funktionalitäten mittels PlugIns zur Verfügung. Falls für ein solches PlugIn ein Exploit bekannt wird, können Sie als Nutzer dieses einzelne PlugIn deaktivieren oder ggf. ersetzen. Diese Einzelabschaltung gibt es bei ActiveX nicht.
Insgesamt verwischt der Internet Explorer zunehmend die Grenze zwischen dem Arbeiten am lokalen Rechner und dem Surfen im Internet. Damit einher geht ein Spagat zwischen lokaler Allmacht und sicherem Surfen, der nicht gelingen kann.
Wer Sicherheit oben anstellt, hat derzeit nur folgende Alternativen:
auf Browser wie Netscape 7.0, Opera oder Mozilla umzusteigen (siehe Artikel von Dr. Bernward Tewes in dieser INKUERZE-Ausgabe sowie in c't 25/2002, Seite 106) oder
Active Scripting zumindest beim Surfen im Internet zu deaktivieren (siehe c't 25/2002, Seite 102).
Linux-Nutzer können auf den ebenfalls hervorragenden WWW-Browser Konqueror oder auf Mozilla zurückgreifen.
Unter dieser Prämisse - also beispielsweise Mozilla bzw. Konqueror mit JavaScript oder Internet Explorer ohne - gewinnen die Alternativ-Browser auch jeden Vergleich bezüglich Komfort und Funktionsvielfalt!
Auch für die jetzt noch offenen Sicherheitslücken wird Microsoft sicher früher oder später einen Patch liefern. Aber genauso sicher werden neue Lücken bekannt werden. Ohne grundsätzliche Änderungen am Design und wohl auch an Microsofts Firmenpolitik wird es keinen sicheren Internet Explorer geben.
Verzichten Sie unbedingt auf Outlook! Wer Outlook meidet, vermeidet Sicherheitslücken des Internet Explorer. Wer sich Viren oder Trojaner eingehandelt hat, kann diese dann wenigstens nicht über sein Outlook-Adressbuch weiter verbreiten. Steigen Sie um auf eines der folgenden Programme: Unter Windows empfehlen wir Ihnen, wenn Sie keinen IMAP-Zugang besitzen, PegasusMail. Für IMAP-Nutzer sind neben PegasusMail Netscape 7 und Netscape 4.78 bzw. unter Linux KMail bessere und sicherere Alternativen. Wir helfen Ihnen gerne beim Umstieg!
Unabhängig von Ihrer Browser- und E-Mail-Software sollten Sie Ihre Antivirussoftware regelmäßig aktualisieren. Am besten, Sie installieren an Hand der Installationsanleitung des URZ unter http://www1.ku-eichstaett.de/urz/install/sophos-2000.pdf sich die als Campusversion vorliegende und auch für alle Mitarbeiter und Studierenden für den häuslichen PC lizenzierte Antivirussoftware Sophos AntiVirus auf Ihrem Arbeitsplatz-PC. Nutzen Sie wenn irgend möglich die Konfigurationsoption `Auto-Update'. Nur so ist Ihre Antivirussoftware immer auf aktuellst möglichem Stand.
Empfehlungen zur Absicherung Ihres Web-Browsers finden Sie unter
http://www.heise.de/ct/browsercheck/anpassen.shtml
empfohlene Sicherheitseinstellungen für verschiedene Browser Netscape Communicator 4.7x und 6.x (Mozilla), Microsoft Internet Explorer 5.x (IE 5),
Microsoft Internet Explorer 6.x (IE 6), Opera 5.x deutsch
Axel Kossel (2002): Schutz befohlen, Maximale Sicherheit für den Internet Explorer, in: c't 25/2002, S. 102-104.
Jo Bager (2002): Surfen ohne e, Mit Opera und Mozilla sicher ins Netz, in: c't 25/2002, S. 106-108.
Ausführliche Informationen zu den Sicherheitslücken in Microsoft Outlook und Internet Explorer finden Sie unter folgenden URLs:
http://www.heise.de/ct/02/25/100/
Jürgen Schmidt (2002): Nicht `trustworthy', Internet Explorer gefährdet Rechner und Netze, in: c't 25/2002, S. 100-101.
http://www.hrz.uni-wuppertal.de/infos/hrz-info/hrz-info-200201/info18.pdf
Seite 7 -18
Microsoft - ein Sicherheitsproblem?
http://www.pivx.com/larholm/unpatched/
Unpatched IE security holes
http://www.heise.de/newsticker/data/pab-12.11.02-000/
Surfen mit IE kann Festplatte formatieren (Update)
http://www.virus-aktuell.de/frame.php3?artikel=http://www.virus-aktuell.de/e-mail-software-test.html
Check Ihrer E-Mailsoftware auf Sicherheitslücken
http://www.heise.de/ct/antivirus/emailcheck/
Check Ihrer E-Mailsoftware (v.a. Outlook/Outlook Express) auf Sicherheitslücken (Zeitschrift c't)
http://www.heise.de/ct/browsercheck/
Browsercheck der Zeitschrift c't
http://www.rrzn.uni-hannover.de/Security/sec-pages/aktuelle_Hinweise.html
Aktuelle Hinweise des Regionalen Rechenzentrums Niedersachsen zu Viren/Wurm-Warnungen
http://www1.ku-eichstaett.de/urz/install/sophos-2000.pdf
Installationsanleitung des URZ für Sophos AntiVirus unter Windows2000/XP
Ansprechpartner im URZ: | Zimmer: | Telefon: | PMail: |
Bernhard Brandel | IN: HB-204 | -1888 | bernhard.brandel |
Dr. Wolfgang A. Slaby | EI: eO-109a | -1214/-1462/-1670 | wolfgang.slaby |
Dr. Bernward Tewes | EI: eO-106 | -1667 | bernward.tewes |