Wie riskant ist eigentlich das Internet: Sprich, das Abrufen von Webseiten etc.? Sicherheitsanbieter Kaspersky hat sich Gedanken gemacht. Und mir ist eine Liste der 50 gefährlichsten Top Level Domains (TLDs) in die Hände gefallen.
Anzeige
Kaspersky: 42% der besuchten Webseiten bergen Gefahren
Sicherheitsanbieter Kaspersky hat sich mit den Risiken beim Besuch von Webseiten befasst. Die Sicherheitsforscher kommen zum Schluss, dass die Risikoquote der meistbesuchten Webseiten im Hinblick auf potentielle Gefahren bei 42 % liegt.
Fast die Hälfte der meistbesuchten Websites birgt potenzielle Gefahren für Besucher. Was Sie tun können erklären wir hier: https://t.co/s6EDYWs6Fc #Kaspersky
— Kaspersky Lab DACH (@Kaspersky_DACH) 11. September 2018
Details lassen sich dem verlinkten Beitrag entnehmen. Dort gibt es auch .csv- und .txt-Dateien mit den Listen der gefährlichsten Domains, die man in Filterlisten ggf. sperren kann (z.B. per Windows Hosts-Datei).
Liste der 50 gefährlichsten Domains
Der folgende Tweet verweist auf einen Beitrag, der die 50 gefährlichsten Webadressen (domains) auflistet.
Anzeige
In our latest blog post we list the top 50 dangerous TLDs online. Read the research and use the lists provided to instantly block over 16,000 C2 domains and hunt threats within your networks >> https://t.co/KoZsg5Jo81 pic.twitter.com/JwWDdfzOtI
— AlphaSOC (@alphasoc) 9. September 2018
Anzeige
Hier wird eine alte und bewährte Strategie angewandt, um ein Produkt zu verkaufen. Zuerst Verunsicherung und Angst schüren um zum Schluss das rettende Produkt zu präsentieren.
Jede Webseite ist nur so sicher, wie der Webseiten-Betreiber sie aufgestellt hat. Wer auf der sicheren Seite bleiben will, sollte grundsätzlich ActiveX, Scripting und Wasm für alle Webseiten deaktivieren und lediglich für vertrauenswürdige Webseiten zulassen. Zudem sollte man, sofern Windows 10 genutzt wird, sich mit der eingebauten Anti-Schadsoftware zufrieden geben und die Finger von Produkten anderer Anbieter lassen.
In Sachen hosts-Datei findet sich die Nr. 1 unter http://winhelp2002.mvps.org/hosts.htm.
Die Nr. 1 segelt unter http, ohne "s" …
Ist die einzige Liste die mir uBlockO. mit einem roten offenen Schloß markiert.
Macht doch nichts, sensitive oder gar illegale Daten werden ja nicht übertragen und die Hashsummen zur Prüfung des heruntergeladenen ZIP-Archivs stehen auch zur Verfügung. Kurzum, eine HTTPS-Webseite macht deren Inhalt nicht sicherer und die allgemeine HTTPS-Hysterie ist genau das. Die Wahl des Webbrowsers und die Nutzung von Drittanbieter-Addons hingegen sollte eigentlich mehr Kopfschmerzen bereiten.
Nur dass du eben nicht weißt, dass die Liste, genauso wie eben der Hashwert, nicht auf dem Transportweg manipuliert worden sind.
So könnte dann z. B. auch ein Hosts-Eintrag für google.de auf Zeile 13268 enthalten sein (oder auch ein Eintrag für die Onlinestatus-Erkennung in Windows), die du nicht auf deinem System haben möchtest.
Wenn dann in der Onlinestatuserkennung oder im Browser jetzt noch ein 0-Day drinsteckt, könnte der aufgerufene Server deinem System mal eben ein paar komische Befehle mitgeben, womöglich noch mit Systemrechten.
Wenn dann und auch noch dann, dann geht die Welt unter… Neben der Theorie gibt es dann aber noch die Realität — und die Manipulation von Datenpaketen ist keine triviale Angelegenheit. Auch ist dem Angreifer nicht bekannt, welche Route die einzelnen Datenpakete nehmen werden. Der viel zu oft theorisierte Mann-in-der-Mitte Angriff kann nur in unmittelbarer Nähe zum jeweiligen Endpunkt erfolgreich vorgenommen werden. Kurzum, der Angreifer muss schon im lokalen Netzwerk oder beim Internetdienst-Anbieter des jeweiligen Endkunden sitzen. Ebenso muss der Angreifer auch wissen, welche Hashsummen-Datei zu welcher Datei gehört… Abgesehen davon sind die Daten im vorliegenden Fall so unbedeutend, dass niemand auch nur eine Sekunde damit verschwenden würde, einen derartigen Aufwand zu betreiben — und letztlich eine Straftat zu begehen.
In den Listen steht zum Beispiel auch folgendes:
us
eu
Soll ich jetzt demnach also alle US und alle EU Seiten blockieren?
Das kann es ja wohl nicht sein.
Wie also soll man diese Listen verarbeiten?
Ist doch klar, dass da .us drinnen steht!
Die US-Regierung hat Kaspersky gesperrt!
"Das Heimatschutzministerium teilte mit, es sei besorgt über mögliche Verbindungen zwischen Firmenvertretern und russischen Geheimdiensten. Es bestehe das Risiko, dass die russische Regierung den Zugang über Kaspersky-Produkte ausnutzen könne, um Informationssysteme der US-Behörden zu kompromittieren, hieß es in einer Mitteilung."
"Liste der 50 gefährlichsten Top Level Domains (TLDs)" – sicher, dass TLDs gemeint sind und nicht second-level domains?
Völlig überraschend sind bei den "gefährlichsten" domains von AlphaSOC lauter DynDNS (die meisten von no-ip betrieben). Wer hätte gedacht, dass Wegwerf-Adressen besonders gefährlich sein könnten? Sowas aber auch…