Was ist die Hosts-Datei? Eine Datei unter vielen?

Das Thema Computersicherheit ist so komplex, dass selbst die meisten fortgeschrittenen Anwender nicht alle möglichen Schlupflöcher für Malware kennen. Eine der eher unbekannten Möglichkeiten stellt dabei die Hosts-Datei dar. Speziell für so genannte Pharming Attacken, einer speziellen Form von Phishing, kann diese jedoch wunderbar missbraucht werden. Was das ist und wie das geht erfahren Sie im folgenden Text.

Gehen wir ein wenig in der Zeit zurück und erinnern uns an Tage, wo das Internet noch ARPANET hieß und aus relativ wenigen Computern bestand. Schon damals wurde Computern eine im Netz einmalige Nummer, nämlich die IP-Adresse zugewiesen. Diese kann man quasi als genaue Kennung eines Computers in einem Netzwerk verstehen, ähnlich einer Telefonnummer. Nun merkt man sich allerdings als Mensch richtige Namen besser als Zahlen, besonders, wenn jene aus viermal drei Ziffern bestehen wie es beim IP (Internet Protokoll) der Fall ist. Heutzutage sorgt das DNS (Domain Name System) mit seinen Servern dafür, dass z.B. www.emsisoft.com
in die IP Adresse 80.237.191.14 aufgelöst wird und dann genau dieser Internetrechner mit der Emsisoft Webseite darauf aufgerufen wird. Doch im ARPANET gab es das DNS noch nicht. Vielmehr gab es – Sie ahnen es schon – die Hosts-Datei.

An und für sich war die Hosts-Datei sehr unspektakulär – und sie ist es immer noch. Es handelt sich um eine unformatierte Textdatei, in der Domain Namen mit jeweils einer IP Adresse nebeneinander stehen. Wenn man nun einen bestimmten Computer adressieren möchte, so „schaut“ das Betriebssystem zuerst in die Hosts-Datei, entnimmt daraus die IP Adresse und kontaktiert den unter dieser Adresse befindlichen Computer/Server. Warum es heute das DNS gibt kann man sich nun auch denken; es war einfach ein großes logistisches Problem, ständig alle Einträge auf allen Rechnern aktuell zu halten, besonders in Anbetracht des Netzwachstums. Dennoch befindet sich nach wie vor auch auf Ihrem Rechner eine Hosts-Datei, quasi als Relikt aus früheren Zeiten.

Benutzer von Windows 2000 oder XP finden die Hosts-Datei normalerweise im Verzeichnis c:\windows\system32\drivers\etc\. Nun fragen Sie sich vielleicht – was kann daran eigentlich schädlich sein? Die Datei an sich schadet erstmal nicht. Allerdings kann ihr Inhalt schaden. Nach wie vor benutzt Ihr Computer – oder besser gesagt Ihr Betriebssystem – die Hosts-Datei neben dem DNS, um bestimmte Server adressieren zu können. Jetzt nehmen wir einmal an, Sie betreiben Onlinebanking bei einem bestimmten Finanzinstitut. Dazu besuchen Sie eine Webseite, der, wie allen anderen auch, eine bestimmte IP-Adresse zugewiesen ist. Editiert nun aber jemand auf Ihrem heimischen Computer die Hosts-Datei für eben jene Onlinebanking Webseite, so wird Ihr Computer umgeleitet und landet nicht auf der erwünschten Webseite. Mit ein wenig krimineller Energie baut also jemand auf einem eigenen Server die Webseite Ihrer Bank nach, leitet Sie darauf um und erfreut sich ab sofort Ihrer persönlichen Daten wie Login, Passwort und am besten auch noch einer PIN, die Sie natürlich, sich auf der von Ihnen gewünschten Webseite wähnend, ohne große Vorsicht eingeben.

Solche Attacken werden in Fachkreisen auch „Pharming“ genannt. Dabei verwenden Angreifer ein kleines Malwareprogramm, welches so viele Rechner wie möglich infiziert und dabei die Hosts-Datei abändert. Im Normalfall fällt das nicht einmal großartig auf,  da viele Anti-Malware-Programme keinen Alarm geben und die Änderung auch nicht bemerken. Ziel der Attacke muss dabei auch nicht unbedingt Ihr Onlinebanking Zugang sein: Ebay-Accounts oder Webmail Adressen à la GMX/Web.de gehören ebenfalls zu den begehrten Zielen. Aber auch zum einfachen Umgehen von Updates der verwendeten Anti-Malware oder Anti-Virus Software kann man die Hosts-Datei misbrauchen. Der zu erreichende Updateserver des betreffenden Anbieters wird einfach auf einen anderen Server umgeleitet. Damit erhält das Schutzprogramm keine neuen Signaturen und Updates und kann den an der Hosts-Datei werkelnden Schädling gegebenenfalls nicht mehr erkennen und entfernen.

Natürlich möchten wir wie immer nicht nur potentielle Gefahren beleuchten, sondern auch Möglichkeiten, sich vor jenen zu schützen. Die nahe liegende Option ist hier, sich die Hosts- Datei regelmäßig anzuschauen und auf Änderungen zu überprüfen. Spätestens, wenn Ihre Bankwebseite oder Ebay einen eigenen Eintrag haben sollte Ihnen das zu denken geben. Mit Emsisoft HiJackFree bietet Ihnen eine komfortable Möglichkeit, die Hosts Datei einzusehen und zu bearbeiten.

Seit Version 2.1 enthält Emsisoft Anti-Malware auch eine Hosts Datei Überwachung. Sobald der Inhalt der Datei verändert wird, schlägt Anti-Malware Alarm und gibt Ihnen die Möglichkeit, die Änderung bei Bedarf rückgängig zu machen. So hat Malware keine Chance, Sie auf gefälschte Webseiten umzuleiten.