SWITCH macht mobil gegen Malware auf Websites
Am 25. November 2010 hat SWITCH, die Schweizer Registrierungsstelle für .ch und .li Domains damit begonnen, Domainhalter und/oder deren technische Kontakte in Zusammenhang mit aufgefundener Malware auf ihren Webseiten gezielt anzuschreiben. Das Programm von SWITCH soll dabei sowohl präventiv wie auch proaktiv der weiteren Verbreitung von Malware entgegen wirken. Im Zentrum steht dabei nicht nur die Information über aufgefundene Malware, sondern auch deren umgehende Entfernung, sprich die Bereinigung infizierter Websites.
Einige wird dies unerwartet treffen und bei Domainhaltern oder Webmastern Unsicherheit hervorrufen.
SWITCH macht in ihren Informationsschreiben deutlich, dass bei Nichtentfernung der Malware binnen der gesetzten Frist weitere Massnahmen ergriffen werden, unter anderem die Löschung der Internet-Domain gestützt auf die Allgemeinen Geschäftsbedingungen der SWITCH und das Bundesgesetz über Adressierungelemente im Fernmeldebereich. Ebenso erwägt die SWITCH dann die Einleitung rechtlicher Schritte. In Einzelfällen ist es infolge Nichtreagierens innert der gestellten Frist bereits zu ersten Sperrungen von Internet-Domains gekommen.
In der Praxis führt dies zu einiger Verwirrung und Unverständnis, ebenso wie Unsicherheit darüber, was Sie als Kunde und Domainhalter denn nun genau unternehmen müssen und an wen Sie sich für Unterstützung wenden können. Eine der wichtigsten Fragen ist auch, was denn Malware überhaupt ist. Wikipedia definiert Malware im Allgemeinen wie folgt (Auszug):
«Als Schadprogramm oder Malware bezeichnet man Computerprogramme, die entwickelt wurden, um vom Benutzer unerwünschte und ggf. schädliche Funktionen auszuführen. Dieser Begriff bezeichnet keine fehlerhafte Software, auch wenn diese Schaden anrichten kann. Malware wird von Fachleuten der Computersicherheitsbranche als Über-/Sammelbegriff verwendet, um die große Bandbreite an feindseliger, intrusiver und/oder unerwünschter Software oder Programmen zu beschreiben.»
Malware beschreibt damit also Sammelbegriff nicht nur Schadprogramme auf dem Computer (Viren, Trojaner, Backdoors, usw), sondern auch eingeschleuste Schadfunktionen innerhalb von Webseiten oder Emails.
Malware auf Webseiten kann für die unterschiedlichsten Zwecke genutzt werden, beispielsweise zum Versenden von Spam-Mails an beliebige Empfänger. Ebenfalls sehr beliebt sind präparierte Webseiten, die dem Benutzer Schadcode unterschieben, der sich auf dem Computer einnistet (Drive-By-Downloads), häufig mit dem Ziel solcherart infizierte Computer als Teil eines sogenannten Botnets zu nutzen. Botnets dienen organsierten Angriffen auf Netzwerke und Infrastrukturen, so wie vor einigen Tagen aufgrund der Wikileaks-Affäre bei Postfinance geschehen. Weiterhin sehr beliebt sind Phishing-Seiten oder Phishing-Emails. Hierbei handelt es sich um den Versuch durch Vorspiegelung falscher Informationen oder gar dem kompletten Nachbau einer Website – hier sind beispielsweise e-Banking-Portale sehr beliebt – den Nutzer zur Herausgabe seiner Zugangsdaten zu bewegen.
Die Gründe für das Vorhandensein von Malware sind vielfältig. Bisweilen wird mit dem «Vertrauensbonus» der Menschen gespielt: Man gaukelt vor, ein Mitarbeiter oder Bekannter eines Geschäftspartner zu sein, und erschwindelt sich so vertrauliche Informationen, die einem Tür und Tor öffnen. Das nennt sich Social Engineering. Vielfach wird aber auch auf die Bequemlichkeit der Anwender abgezielt, beispielsweise beim Ausspähen oder Erraten von Passwörtern, um so Zugang zu einem Benutzerkonto zu erlangen; umso mehr ein Grund um nicht einfache oder leicht zu erratende Passwörter zu verwenden.
Gerade bei bei Webseiten, und darum geht es ja zur Hauptsache in diesem Beitrag, erfolgt die Einschleusung von Malware über bekannte Sicherheitslücken in Web-Anwendungen wie Blogs, Shops oder Content Management Systeme. Dies könnte durch regelmässiges aktualisieren der Web-Anwendungen leicht vermieden werden, doch fehlt dazu in der Praxis meist die Zeit oder die Motivation. So tut sich hier insbesonders auch einer der Hauptkritikpunkte schlechthin auf: Ausgerechnet die Web-Anwendungen werden – einmal installiert – bis ans Ende ihres Lebenszyklus genutzt. Ein bestehendes System zu ändern, zieht oftmals grössere Arbeiten nach sich, da unter Umständen einige Funktionen nach einem Update nicht mehr ohne Anpassungen nutzbar sind. Dies bewirkt in der Regel, dass viele Applikationen hauptsächlich redaktionell betrieben und gepflegt werden und Updates aus vorgenannten Gründen häufig aussen vor bleiben. Früher oder später entwickeln sich damit bestehende Web-Anwendungen zu einem Gefahrenherd, da Sie nicht selten nach Einschleusung eines Schadprogramms als Sprungbrett zur weiteren Verbreitung von Malware dienen.
Weitere ausführliche Information zu diesem Thema finden Sie auf dem SWITCH Web-Portal.
Damit ist für Sie als Domainhalter oder Betreuer einer Website nun zwar geklärt, was es mit der Thematik Malware insgesamt auf sich hat. Doch wie verhalten Sie sich nun am besten, wenn Sie in einem E-Mail von SWITCH erfahren, dass Ihre Website infiziert ist?
- Behalten Sie einen kühlen Kopf, verschaffen Sie sich Übersicht und gehen Sie die Sache besonnen an. Auf keinen Fall sollten Sie:
- Blindlings die ganze Website und alle Inhalte löschen
Ihr Schaden durch Datenverluste oder Wiederherstellungsaufwände würde viel grösser sein, als wenn die Seite koordiniert bereinigt wird.
Ausserdem: Wenn Sie das Info-E-Mail erhalten haben, war die Seite bereits einige Zeit infiziert und so im Netz abrufbar. Auf 10 Minuten mehr – natürlich nur, um die nachfolgenden Massnahmen zu planen – kommt es dann nicht mehr an!
Bedenken Sie: SWITCH räumt Ihnen 72 Stunden Zeit zur Bereinigung ein. - Die Website durch ein Backup überschreiben (das Backup könnte gegebenenfalls auch infiziert sein, falls Sie dieses zu einem Zeitpunkt nach der Infektion auf Ihren Rechner geladen haben)
- Die von SWITCH im E-Mail genannte URL manuell aufrufen (Achtung: Infektionsgefahr für Ihren eigenen Rechner!)
Vergegenwärtigen Sie sich stattdessen die Situation:
- Welche Website (Domain) ist betroffen?
- Wer ist für die Betreung der betroffenen Website zuständig?
- Ist die Betreuung der Website in einen redaktionellen Teil (Redakteur) und einen technischen Teil (Webmaster) aufgeteilt?
- Blindlings die ganze Website und alle Inhalte löschen
- Führen Sie die Bereinigung der Website gegebenenfalls unter Einbezug Ihres Webmasters oder des technischen Betreuers durch. Wir halten dazu erstmal fest, dass Sie als Domainhalter bzw. Besitzer des Hosting-Accounts selbst für alle Inhalte wie auch die darauf installierten Web-Anwendungen und deren Pflege, sprich regelmässige Aktualisierung, verantwortlich sind (AGB der Genotec AG). Die Bereinigung von Malware fällt damit weder in die umittelbare Zuständigkeit der SWITCH noch in die der Genotec AG.Wenn Sie einen Webmaster haben, der Ihre Webseite technisch betreut, wenden Sie sich zuerst an diesen um die Bereinigung oder eine Komplettlöschung mit Neuaufbau der Website durchzuführen. Bei einer Bereinigung ist zu beachten, dass das alleinige Löschen der infizierten Inhalte nicht ausreichend ist. Web-Applikation, die einmal das Einschleusen von Schadcode ermöglicht haben, müssen auf jeden Fall über ein Update aktualisiert werden, damit sich der Vorfall nicht wieder unmittelbar wiederholt.
- Was tun, wenn Sie nicht über die Fachkenntnisse verfügen oder Ihr Webmaster unabkömmlich ist? Ideal wäre natürlich, wenn Ihr Webmaster sich um die Durchführung der erforderlichen Arbeiten kümmern könnte, da er mit dem Aufbau Ihrer Website am besten vertraut sein dürfte. Angesichts des Zeitrahmens von 72 Stunden für die Bereinigung kann es jedoch durchaus dazu kommen, dass dies nicht unmittelbar möglich ist. In akuten Notfällen steht Ihnen natürlich auch der Kundendienst der Genotec AG unterstützend zur Verfügung. Wir weisen allerdings darauf hin, dass wir uns dabei auf die Entfernung der Malware sowie bei Bedarf die Durchführung eines Updates beschränken müssen und unsere Arbeitsleistung zu CHF 190.–/Std. nach Aufwand verrechnet werden.
- Beachten Sie auf jeden Fall auch die Hinweise und Hilfestellungen zum Thema Malware auf dem SWITCH Web-Portal.
- Informieren Sie SWITCH unmittelbar nach der Bereinigung darüber, dass die Malware entfernt wurde, damit Ihre Website nicht gesperrt wird. Beachten Sie, dass die stillschweigende Entfernung der Malware ohne Benachrichtung an SWITCH trotzdem zu einer Sperrung führen kann! Sämtliche Rückmeldungen an SWITCH sind an die E-Mail-Adresse malware-notify@nic.ch unter Angabe der SWITCH-CERT Ticket-ID in der Betreffzeile zu senden.
Wir hoffen, dass wir Ihnen anhand unserer Ausführung etwas mehr Sicherheit zu diesem Thema geben konnten. Für Rückfragen steht Ihnen sowohl unser Kundendienst wie auch der SWITCH Helpdesk gerne zur Verfügung.
Beitrag teilen:
mc-safety um 09:54 am 10. Dezember 2010 Permalink |
Eine sinnvolle Initiative!
Annelies um 01:12 am 11. Dezember 2010 Permalink |
Das ist mal ein gut geschriebener Artikel, besten Dank. Muss man erstmal verarbeiten. Generell finde ich die Seite leicht zugaenglich.
Robert Koch um 13:19 am 22. Dezember 2010 Permalink |
Informativer Artikel, vielen Dank für die Link-Tipps
Max um 13:29 am 8. Januar 2011 Permalink |
Jeder der schon einmal Opfer von Malware geworden ist wird das zu schätzen wissen.
SWITCH vs Malware or: How I learned to stop worrying and love the DNS block | Simon Rupf's Ansichtssache um 16:13 am 11. Juli 2011 Permalink |
[...] etwas weiter über das Thema informieren möchte, dem sei die FAQ der SWITCH zum Thema und dieser Blog-Beitrag der Genotec [...]