Sicherer surfen mit Spyproxy

Eines der vor kurzem von der Usenix freigegebenen Whitepaper beschäftigt sich mit einem interessanten Konzept, wie man sicherer surfen könnte. „SpyProxy: Execution-based Detection of Malicious Web Content“ von Alexander Moshchuk, Tanya Bragin, Damien Deville, Steven Gribble, and Henry Levy von der University of Washington beschreibt eine virtuelle Maschine, die zwischen den Browser des Anwenders und die anzufordernden Webseiten geschaltet wird (PDF-Version hier).

Das klingt zuerst nicht sehr revolutionär. Die JanusVM ist beispielsweise ein virtueller Proxy, in dem unter anderem Privoxy den Datenstrom bereinigt. Spyproxy geht jedoch erheblich weiter:

Zuerst unterziehen die Forscher eine gewünschte Webseite einer statischen Analyse. Dabei prüfen sie unter anderem, ob die Seite ausführbare Elemente enthält. Besteht die Seite nur aus HTML, stuft sie Spyproxy als ungefährlich ein und leitet sie an den Browser weiter. Enthält sie aber aktive Elemente oder auch Grafiken, leitet das System sie an eine virtuelle Maschine weiter, die sie automatisch in einem Browser ausführt.

Nun wird es spannend. Die Forscher gehen davon aus, dass Schadcode versuchen wird, aus dem Browser „auszubrechen“ und die virtuelle Maschine zu infizieren. Sie überwachen die VM deswegen auf ungewöhnliche Veränderungen, wie neue Dateien und Prozesse. Springt einer der installierten Trigger an, stufen sie die Seite als unsicher ein und leiten sie nicht an den Browser des Endanwenders weiter.

Spyproxy kann so problemlos neue Exploits und Zeroday-Angriffe erkennen, ohne auf Signaturen zurückgreifen zu müssen. Ein passives System wie Siteadvisor hängt dagegen immer hinterher, da eine gefährliche Seite zuerst gemeldet und untersucht werden muss, bevor sie ausgefiltert wird.

Ein Problem mit dem Spyproxy-Konzept ist jedoch der zusätzliche „Overhead“, den die VM produziert. Nach Angaben der Forscher soll sich die Zeit zwischen Anforderung der Webseite und ihrer Darstellung im Browser jedoch nur um 600 Millisekunden verlängern. Das hängt aber natürlich vom Computer des Anwenders ab. Zudem ist es lästig, nach dem Einschalten noch eine virtuelle Maschine starten zu müssen, bevor man surfen kann.

Ein weiteres Problem ist, dass viele Drive-by-Downloads heutzutage über Werbebanner verbreitet werden. Bei jeder Anforderung der Webseite wird jedoch meist ein anderer Banner geladen. Es ist also möglich, dass in der VM ein harmloser Banner erscheint, während der Anwender in seinem Browser einen manipulierten Banner zu sehen bekommt, der sein System dann doch infiziert.

Und noch ein Problem ist, dass man eine fertige Spyproxy-VM nicht einfach zum Download anbieten kann. In ihr muss ja Windows laufen und Microsoft hat bekanntlich etwas gegen eine kostenlose Verbreitung ihrer Betriebssysteme – außer man kriegt das irgendwie mit Nepenthes oder einer ähnlich Software hin. Ein Softwarepaket für eine selbst zu installierende Windows-VM gibt es jedenfalls noch nicht und es ist nicht bekannt, ob es dies jemals geben wird.

Weitere Beiträge zum Thema:
Freier Zugang zum (Sicherheits-)Archiv der Usenix-Gruppe
Wie Google nach verseuchten Webadressen sucht
Drive-by-Downloads

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.