News
30.03.2011, 08:51 Uhr
Security-Experiment: schutzlos im Web!
Der PCtipp hat sich unbekümmert und ohne Schutz ins Internet gewagt. In kurzer Zeit landeten zig Schädlinge
auf unserem Computer. Wir erklären, wo Sie die Hebel ansetzen müssen, damit Ihr PC garantiert sicher ist.
Wer sich im Internet nicht schützt, erlebt eine böse Überraschung. Das zeigt das Selbstexperiment vom PCtipp: Uns interessierte, wie viel Schaden das Surfen ohne Antivirenprogramm und ohne andere Sicherheitsmassnahmen anrichtet, von welchen Webseiten die gefährlichsten Schädlinge stammen und welche Daten soziale Netzwerke wie Facebook sammeln. Das Ergebnis war verheerend: PCtipp fing sich in dem Experiment in wenigen Stunden Tausende von Cookies, 2 Trojaner, 3 Trojaner-Installer, 3 Adware-Programme und 1 Backdoor-Tool ein.
Das Experiment wurde in Zusammenarbeit mit der Schweizer Sicherheitsfirma OneConsult durchgeführt. Dabei surften die PCtipp-Redaktoren Janis Berneker und Reto Vogt mit einem Windows-XP-Rechner und einem Windows-7-Computer ohne Virenschutz im Internet. Sie besuchten verschiedenste Webseiten – von harmlosen News-Portalen bis zu dubiosen Download-Seiten. Alle Details zu den Testbedingungen lesen Sie auf Seite 3 im Abschnitt «Schutzlos im Web – das Experiment».
Ohne einen Virenschutz setzt man seinen Computer ...
Gratisschutz für die Füchse?
Ausserdem verraten Jan Alsenz und Christoph Baumgartner von OneConsult im Interview, was sie bei der Auswertung des Experiments überraschte und was Gratisvirenprogramme im Vergleich mit der kostenpflichtigen Konkurrenz taugen.
Schutzlos im Web – das Experiment
Schutzlos im Web – das Experiment
Wir führten unser Experiment in den Räumen des Schweizer Sicherheitsunternehmens OneConsult in Thalwil durch. Unsere beiden Notebooks stellten die Internetverbindung über einen Proxyserver her, damit der Netzwerkverkehr überwacht werden konnte.
System Nummer eins war mit einem nicht aktualisierten Windows XP sowie dem Internet Explorer 6 ausgerüstet. Auf dem zweiten Laptop lief ein aktuelles Windows 7 sowie der Internet Explorer 8. Auf beiden Geräten war kein Virenschutz installiert. Das Experiment dauerte ca. 6 Stunden. Ausgewertet hat die Daten OneConsult. Einen Auszug mit den interessantesten Ergebnissen finden Sie hier.
Schritt 1: Datenschutz
Schritt 1: Datenschutz
Wir starten unser Experiment ganz harmlos und surfen auf die News-Portale von 20 Minuten, Blick, PCtipp sowie Tages-Anzeiger. Schon hier laufen im Hintergrund 1800 Anfragen zu verschiedensten Seiten wie Werbung, Facebook etc. Sie beinhalten jedes Mal Benutzerinformationen zum verwendeten Betriebssystem, zur Browserversion, Herkunft und Sprache. Auch Bildschirmauflösung oder Internetgeschwindigkeit lassen sich auslesen. Darüber hinaus können die Seitenbetreiber den sogenannten Referrer einsehen. Er verrät, von wo die Anwender auf die Seite gelangen (zum Beispiel per Google-Suche oder durch Eintippen der Adresse).
Aber das ist noch nicht alles: Zusätzlich speichern die Webseiten auf jedem Besucher-PC eine kleine Datei, die in der Fachsprache Cookie heisst. Dank ihr wissen die Seitenbetreiber, wie lange die Nutzer die Seite besuchen und ob sie zurückkehren. Immerhin lässt sich von den Daten nicht auf die Identität schliessen. Die Seitenbetreiber werten die Infos allerdings statistisch aus. Das kann etwa so aussehen: 32 Prozent benutzen Windows 7, surfen mit dem Firefox und einer schnellen ADSL-Leitung, sprechen Deutsch, stammen aus der Schweiz und besitzen einen 24-Zoll-Monitor, Screen 1.
Auf der nächsten Seite: So schützen Sie sich, indem Sie Spuren beseitigen
So schützen Sie sich, indem Sie Spuren beseitigen
So schützen Sie sich, indem Sie Spuren beseitigen
Das Surfen im Internet hinterlässt Spuren, die Webseitenbetreiber auswerten können. Wer das verhindern möchte, surft in seinem Browser am besten im «Privaten Modus». Dadurch werden das Abspeichern von Cookies, Verlauf etc. verhindert; das Surftempo sinkt jedoch leicht. Ein anderer kleiner Nachteil: Einige Webseiten funktionieren womöglich nicht korrekt, weil sie zwingend Cookies erfordern.
Im Internet Explorer finden Sie den «Privaten Modus» unter Sicherheit/InPrivate-Browsen, Screen 2. Firefox-Nutzer klicken auf das Menü Extras/Privaten Modus starten.
Screen 3: Löschen Sie regelmässig sämtliche Spuren, die Ihr Webbrowser hinterlässt
Schritt 2: Verschlüsselung
Schritt 2: Verschlüsselung
Bereits in der zweiten Phase des Experiments decken wir einen unerwarteten Missstand auf: Auf zahlreichen Webseiten werden beim Einloggen die Passwörter der Nutzer unverschlüsselt übertragen. Sie sind damit in einem öffentlichen WLAN problemlos von Dritten einsehbar. Betroffen sind nicht nur Gratisangebote wie etwa die Ausgangsportale Tilllate, Partyguide oder die Chat-Plattform Swisstalk. Auch die kostenpflichtigen Partnervermittlungsdienste FriendScout24 und das renommierte Parship übermitteln die Kennwörter unverschlüsselt.
Was bei Gratisdiensten meist wenig Schaden anrichtet, kann bei Bezahlangeboten richtig ins Geld gehen. Der Grund: Wer deren Premium-Dienste nutzen will, muss seine Kreditkartennummer hinterlegen. Wird das unverschlüsselt übertragene Passwort abgefangen, können sich die Diebe damit einloggen und im schlimmsten Fall die gespeicherten Kreditkarteninfos stehlen.
Parship antwortete auf die PCtipp-Anfrage, dass man daran sei, einen höheren Sicherheitsstandard fürs Login einzuführen. Mittlerweile ist dieser umgesetzt und die Logins sind alle verschlüsselt, Screen 4. Von FriendScout24 erhielten wir keine Antwort.
Auf der nächsten Seite: So schützen Sie sich
So schützen Sie sich
So schützen Sie sich
Wie unser Experiment zeigt, werden Passwörter bei vielen Webdiensten unverschlüsselt übermittelt. Sie können so problemlos abgefangen werden. Deshalb ist es enorm wichtig, dass Sie für jeden Webdienst unterschiedliche Passwörter verwenden. Ansonsten können sich Diebe mit einem gestohlenen Passwort gleich in mehrere von Ihren Webdiensten einloggen.
Verwenden Sie für Ihre Passwörter nie bekannte Informationen wie Namen der Kinder, Geburtsdaten oder Ähnliches. Sehr gut geeignet ist eine Zeichenfolge aus Klein- und Grossbuchstaben, Zahlen und Sonderzeichen. Gut merken kann man sich etwa die Anfangsbuchstaben eines Satzes wie «Der Eiger ist ein Berg in den Alpen und 3970 Meter hoch». Hängen Sie an diesen noch einen Strichpunkt oder ein Komma, zum Beispiel: DEieBidAu3970Mh;
Ob eine Webseite Daten verschlüsselt übermittelt, lässt sich im Webbrowser oft erkennen. Dazu kommen wir noch.
Beim Verwalten vieler Passwörter hilft eine Software wie MyKeePass.
Schritt 3: Facebook überlistet
Schritt 3: Facebook überlistet
Nutzer des sozialen Netzwerks Facebook verraten bereits von sich aus viel Privates im Web. Ausserdem übergeben sie dem Betreiber des Netzwerks die Rechte an hochgeladenen Bildern, veröffentlichten Adressen sowie Telefonnummern und zeigen ihre Interessen sowie Hobbys, indem sie fleissig auf den «Gefällt mir»-Link klicken. Damit kann Facebook Profile von den Anwendern erstellen und passende Werbung einblenden.
Erstaunlich: Selbst als wir in unserem Experiment Facebook verliessen und auf eine andere Webseite wechselten, liess der Wissensdurst der Plattform nicht nach. Mithilfe von Cookies weiss Facebook, welche Seiten Anwender im Anschluss besuchen. Dazu muss nicht einmal ein Link innerhalb von Facebook angeklickt werden. Sogar wenn Anwender eine Webseite in einem neuen Browserfenster öffnen, wird dies der Plattform mitgeteilt. Immerhin beschränkt sich dies auf Webseiten, die eine Schnittstelle zu Facebook eingebaut haben – zum Beispiel die verbreiteten «Empfehlen»-Links, Screen 5. Das Ausloggen bei Facebook genügt übrigens nicht, um das Weiterverfolgen zu verhindern.
Auf der nächsten Seite: So schützen Sie sich vor der Facebook-Schnüffelei
So schützen Sie sich vor der ...
So schützen Sie sich vor der Facebook-Schnüffelei
Facebook setzt beim Ausloggen ein Cookie, um aufzuzeichnen, welche Webseiten danach besucht werden. Möchten Sie nicht dauernd die Cookies löschen, um das zu verhindern? Dann hilft ein zweiter Browser. Surfen Sie Facebook beispielsweise nur mit dem Internet Explorer an. Andere Webseiten besuchen Sie hingegen mit dem Firefox-Browser. Dadurch kann das soziale Netzwerk zu den anderen besuchten Webseiten keine Informationen mehr sammeln.
Schritt 4: Spam dämmen
Schritt 4: Spam dämmen
Wir machen die Probe aufs Exempel und prüfen, welche Gefahr von unerwünschten Werbemails (Spam) ausgeht. Wir klicken auf die Werbelinks von Luxusuhren- und Arzneimittelanbietern sowie für Penisvergrösserungen, Screen 6.
Eines ist klar: Dadurch bestätigen wir den Spam-Versendern die Echtheit unserer Mailadresse. Das wird die Menge an Werbemails beträchtlich erhöhen. Ansonsten stellen wir punkto Sicherheit keine Probleme fest: Auf den von uns besuchten Spam-Webseiten verstecken sich keine Schädlinge. Das heisst aber überhaupt nicht, dass dies bei allen Spam-Webseiten so ist.
Überraschend: Auf allen besuchten Werbewebseiten wurden verschlüsselte Bezahlmöglichkeiten (für Kreditkarte) angeboten. Allerdings sind die Einkäufe rechtlich problematisch: Ohne den Anbietern Böses zu unterstellen, dürfte es sich bei der Ware – insbesondere bei Luxusartikeln – um Fälschungen handeln. Ein weiteres Problem dabei: Seit rund zwei Jahren dürfen Zollbeamte offensichtlich oder mit hoher Wahrscheinlichkeit gefälschte Waren beschlagnahmen. Auch beim Kauf von Medikamenten im Internet, besonders im Ausland, gilt: Hände weg!
Auf der nächsten Seite: So schützen Sie sich
So schützen Sie sich
So schützen Sie sich
Obwohl wir in unserem Experiment keinen Schädling via Spam einfingen, kann dies passieren. Öffnen Sie deshalb in Mails aus unbekannter Quelle niemals die Anhänge, sondern löschen Sie diese umgehend. Klicken Sie auch nie auf Weblinks in Mails von Fremden.
Markieren Sie eintreffende Werbemails als Spam, damit das Mailprogramm diese beim nächsten Mal erkennt und automatisch in den entsprechenden Ordner aussortiert. In Microsoft Outlook finden Sie den Befehl unter Aktionen/Junk-E-Mail/Absender zur Liste blockierter Absender hinzufügen, Screen 7. Thunderbird-Nutzer klicken die entsprechende Nachricht an und drücken die Taste J.
Im zweiten Teil (morgen, 31. März) widmen wir uns den Themen Downloads, Webeinkauf und Abzockseiten. Auch damit waren die Testsurfer konfrontiert. Ausserdem beurteilen wir unser gesamtes Sicherheitsexperiment. Auch die Experten von OneConsult werden ihr Feedback zu den Ergebnissen präsentieren.
Autor(in)
Reto
Vogt
30.03.2011