Muriel: Firewall und Virenscanner für Linux?

Tach.

Kurze Frage: Brauche ich für Linux eigentlich eine Firewall oder einen Virensacenner? Wenn das stimmt, was man so über die Sicherheit Linux' sagt, dann eigentlich nicht, oder?

Und wenn doch: Welche empfehlt ihr mir?

Dankeschön
muriel e.

  1. Hallo,

    schau dir mal das bitte an:

    Für Linux

    MFG,
    das kleine Blümchen

    --
    Lebe deine Träume und träume nicht dein Leben
    1. Hallo,

      hab noch was vergessen:

      Fireball

      2. Fireball

      MFG,
      das kleine Blümchen

      --
      Lebe deine Träume und träume nicht dein Leben
      1. hallo kleines_Blümchen,

        2. Fireball

        Abgesehen davon, Daß ich "Fireball" nur als Titel eines James-Bond-Films kenne: der Artikel ist zwar relativ umfangreich, aber kaum mehr zu empfehlen, da er sich ausdrücklich auf 2.2er Kernels bezieht. Diese Kernel sind inzwischen doch ein bißchen sehr alt. Mit Kernel 2.4 gabs ein paar Umstrukturierungen, die gerade für Firewalls von Bedeutung sein können, und die aktuellen 2.6er Kernel verlagern beispielsweise iptables sehr weit in den Kernel selbst. Wenn man einen 2.6er Kernel hat, ist vieles, weas in dem Artikel steht, schlicht falsch und veraltet, allerdings sind die theoretischen Darstellungen weiterhin lesenswert.

        Grüße aus Berlin

        Christoph S.

  2. Hi!

    Kurze Frage: Brauche ich für Linux eigentlich eine Firewall oder einen Virensacenner? Wenn das stimmt, was man so über die Sicherheit Linux' sagt, dann eigentlich nicht, oder?

    Und wenn doch: Welche empfehlt ihr mir?

    Wenn du keinen Mailserver betreibst [1], um dort serverseitig die Mails auf Viren zu überprüfen, kannst du getrost auf einen Virenscanner verzichten. Ein solcher ist für einen normalen Linux-Desktop-PC vollkommen überflüssig.
    Auf eine Firewall kannst du ebenfalls verzichten, weil sich unter Linux ein Großteil aller Netzwerkdienste so konfigurieren lassen, dass sie nur auf dem lokalen Interface lauschen.

    Grüße,
    Fabian St.

    [1] Ja, ich weiß, es gibt noch andere Anwendungsfelder, wo ein Virenscanner unter Linux sinnvoll ist (z.B. Arbeit in heterogenen Netzen)

    1. Wenn du keinen Mailserver betreibst [1], um dort serverseitig die Mails auf Viren zu überprüfen, kannst du getrost auf einen Virenscanner verzichten. Ein solcher ist für einen normalen Linux-Desktop-PC vollkommen überflüssig.

      Kannst du diese These bitte erläutern und die Hintergründe erklären?

      Mathias

      1. Hi Mathias!

        Wenn du keinen Mailserver betreibst [1], um dort serverseitig die Mails auf Viren zu überprüfen, kannst du getrost auf einen Virenscanner verzichten. Ein solcher ist für einen normalen Linux-Desktop-PC vollkommen überflüssig.

        Kannst du diese These bitte erläutern und die Hintergründe erklären?

        Gerne ;-)

        Ich leugne gar nicht, dass es *unix-Viren gibt (als Beispiel sei nur mal Bliss genannt), jedoch sehe ich keinen Bedarf an einem Viren-Scanner für den Linux-Desktop Bereich, da _keine_ latente Gefahr von solchen Viren ausgeht, wohingegen unter Windows jederzeit mit einem solchen zu rechnen ist. Das mag jetzt unter Umständen als eine fadenscheinige Begründung erscheinen, aber mir reicht sie und ich bin auch überzeugt von dieser Auffassung.

        Arbeitet man hingegen in einem heterogenen Netzwerk, d.h. in einem Netzwerk mit Windows, Linux und eventuell auch Mac Clients kann ein solcher Viren-Scanner auf den Linux-Server sehr wohl sinnvoll sein, um beispielsweise die Samba-Freigaben auf Viren zu überprüfen. Das gleiche gilt ferner auch für den Betrieb eines Mailservers, wo Mails serverseitig vor der Auslieferung auf eventuelles Befallensein von Viren geprüft werden sollen.

        Dass solche Linux-Virenscanner insbesondere für solche Tätigkeiten vorgesehen sind, sieht man an den eigenen Beschreibungen:

        «Clam AntiVirus is a GPL anti-virus toolkit for UNIX. The main purpose of this software is the integration with mail servers (attachment scanning).» (Quelle)

        Bei AMaVIS verrät diesen Umstand bereits der Name: _A_ _Ma_il _Vi_rus _S_canner

        Aus diesen Gründen habe ich hier auf meinen drei Linux-Rechnern und den 20 Linux-Clients in der Schule, die ich betreue, keinen Virenscanner installiert und ehrlich gesagt kenne ich auch sonst keinen, der auf einem Desktop-PC unter Linux einen Virenscanner installiert hat (und darunter sind einige, sehr erfahrene Personen, die bereits lange unter den verschiedenen «Unixen» arbeiten!).

        Grüße,
        Fabian St.

        1. Hallo,

          Ich leugne gar nicht, dass es *unix-Viren gibt (als Beispiel sei nur mal Bliss genannt), jedoch sehe ich keinen Bedarf an einem Viren-Scanner für den Linux-Desktop Bereich, da _keine_ latente Gefahr von solchen Viren ausgeht, wohingegen unter Windows jederzeit mit einem solchen zu rechnen ist. Das mag jetzt unter Umständen als eine fadenscheinige Begründung erscheinen, aber mir reicht sie und ich bin auch überzeugt von dieser Auffassung.

          Warum geht keine Gefahr von ihnen aus?
          (Warum geht eine Gefahr von ihnen speziell für Windows aus?)
          Weil mit Windows-Viren aufgrund ihrer Häufigkeit »zu rechnen ist«, mit Linux-Viren eher nicht, weil sie selten sind? Wie gesagt wiegt das Argument in falscher Sicherheit und leugnet die Notwendigkeit jeglicher Vorbeugung.

          Wird Schadcode gestartet, hat er unter allen Mehrbenutzer-Betriebssystemen, ob Windows oder Linux, grundsätzlich ähnliche Möglichkeiten. Nun kann man z.B. argumentieren, aus bestimmten »Drittgründen« hat es ein Virus unter Windows einfacher, seinen Schadcode zu starten (z.B. Sicherheitslücken in Internet-bezogenen Microsoft-Programmen). Aber gibt es davon abgesehen einen prinzipiellen Grund? Mir ist keiner ersichtlich.

          (Wie gesagt, man kann durchaus die These vertreten, dass ein Virenscanner, der im Hintergrund läuft, im Allgemeinen Unsinn ist. Dafür könnte ich mir zumindest eine konsequente Argumentation vorstellen.)

          Mathias

          1. Hi,

            Warum geht keine Gefahr von ihnen aus?

            Weil der Einsatz für den Angreifer nicht lohnt: es gibt weder Geld noch Ruhm noch Ehre bzw Geld, Ruhm und Ehre sind deutlich größer, wenn man die gefundene Sicherheitslücke veröffentlicht anstatt sie selber zu nutzen. So ein bereits angesprochenes Rootkit ist jedoch _sehr_ lohnenswert, besonders auf großen Servern mit dicker Anbindung und/oder wertvollen Daten.

            (Warum geht eine Gefahr von ihnen speziell für Windows aus?)

            Es gibt sehr selten einen Windowsserver mit dicker Anbindung, da macht es die Masse: mehr Angriffe sind nötig also sind auch mehr Angriffe zu erwarten. Es jedoch recht häufig Windowsserver mit kostbaren Daten: es lohnt sich finanziell aber vielleicht ist das Script-Kiddie auch auf Ruhm und Ehre aus; auch hier sind mehr Angriffe zu erwarten.
            Masse bietet auch ein gewisses Maß an Anonymität, man wird nicht so leicht erwischt, wenn man unter 50.000 Zombies immer mal wieder einen anderen zur Steuerung des Clusters benutzt und danach freigibt (bei einem so großem Cluster gibt es auch raffiniertere Möglichkeiten. Allerdings werde ich eine Teufel tun und die hier darlegen. Kenntnis der Methode ist zudem für die Abwehr ausnahmsweise mal nicht wichtig).

            Weil mit Windows-Viren aufgrund ihrer Häufigkeit »zu rechnen ist«, mit Linux-Viren eher nicht, weil sie selten sind? Wie gesagt wiegt das Argument in falscher Sicherheit und leugnet die Notwendigkeit jeglicher Vorbeugung.

            Es ist die Kosten-Nutzen-Rechnung, die zählt. Einen derart hohen Aufwand für einen extrem unwahrscheinlichen Fall zu betreiben nimmt Ressourcen an anderer, höchstwahrscheinlich viel nützlicherer Stelle weg.

            (Wie gesagt, man kann durchaus die These vertreten, dass ein Virenscanner, der im Hintergrund läuft, im Allgemeinen Unsinn ist. Dafür könnte ich mir zumindest eine konsequente Argumentation vorstellen.)

            Ich würde sogar so weit gehen und behaupten, das das Prinzip eines Virenscanners verfehlt ist. Die Menge "Kein Virus durchlassen" ist, wie das Wörtchen "kein" schon impliziert zwar abzählbar jedoch trotzdem unendlich, "Nur Genehmigtes durchlassen" ist hingegen endlich. Deshalb ist das Prinzip jeder guten Firewall auch: "Nur Genehmigtes zulassen, wenn überhaupt".

            Da das auch die Antivirenproduzenten wissen gibt es drei Möglichkeiten: die wollen dem User die komplizierten Einstellungen ersparen oder es ist ihnen zu kompliziert. Ich persönlich vermute aber, das es Alternative drei ist.

            so short

            Christoph Zurnieden

            1. Hallo,

              Warum geht keine Gefahr von ihnen aus?

              Weil der Einsatz für den Angreifer nicht lohnt: es gibt weder Geld noch Ruhm noch Ehre bzw Geld, Ruhm und Ehre sind deutlich größer, wenn man die gefundene Sicherheitslücke veröffentlicht anstatt sie selber zu nutzen.

              Da sehe ich nichts Linux-Spezifisches.

              (Warum geht eine Gefahr von ihnen speziell für Windows aus?)

              Es gibt sehr selten einen Windowsserver mit dicker Anbindung, da macht es die Masse: mehr Angriffe sind nötig also sind auch mehr Angriffe zu erwarten. Es jedoch recht häufig Windowsserver mit kostbaren Daten: es lohnt sich finanziell aber vielleicht ist das Script-Kiddie auch auf Ruhm und Ehre aus; auch hier sind mehr Angriffe zu erwarten.

              Ok, mir ging’s eher um Desktop-Rechner. Den Punkt der Masse sehe ich durchaus ein.

              Weil mit Windows-Viren aufgrund ihrer Häufigkeit »zu rechnen ist«, mit Linux-Viren eher nicht, weil sie selten sind? Wie gesagt wiegt das Argument in falscher Sicherheit und leugnet die Notwendigkeit jeglicher Vorbeugung.

              Es ist die Kosten-Nutzen-Rechnung, die zählt. Einen derart hohen Aufwand für einen extrem unwahrscheinlichen Fall zu betreiben nimmt Ressourcen an anderer, höchstwahrscheinlich viel nützlicherer Stelle weg.

              Ich sehe das alles ein, es überzeugt mich aber nicht.
              »Virenbefall ist unwahrscheinlich, weil es wenige Viren gibt, die es auf Linux abgesehen haben; es gibt andere, wichtigere Angriffspunkte« mag ein Argument gegen den Einsatz eines Virenscanners auf Linux-Desktops sein. Ein handfestes ist es aber nicht, sondern eher ein hypothetisches, statistisches. Es mag sein, dass man ein System letztlich nur nach solchen Gesichtspunkten absichern kann. Zufrieden stellen kann und sollte das einen trotzdem nicht, da ein Schluss von »Linux-Systeme wurden in der Vergangenheit nur selten durch Viren attackiert« auf die Zukunft sehr heikel ist. Auf jeden Fall kann man nur reagieren, nicht vorbeugen, wenn man so arbeitet. Deshalb halte ich die unbekümmerten Aussagen, Viren und Co. seien kein Thema für bestimmte Betriebssysteme, für gefährlich.

              Ich würde sogar so weit gehen und behaupten, das das Prinzip eines Virenscanners verfehlt ist. Die Menge "Kein Virus durchlassen" ist, wie das Wörtchen "kein" schon impliziert zwar abzählbar jedoch trotzdem unendlich, "Nur Genehmigtes durchlassen" ist hingegen endlich. Deshalb ist das Prinzip jeder guten Firewall auch: "Nur Genehmigtes zulassen, wenn überhaupt".

              Das haben Microsoft und Co. ja schon eingesehen, Stichwort Trusted Computing. Nur der Code wird ausgeführt werden, der zertifiziert bzw. signiert ist.

              Mathias

              1. Hi,

                Warum geht keine Gefahr von ihnen aus?

                Weil der Einsatz für den Angreifer nicht lohnt: es gibt weder Geld noch Ruhm noch Ehre bzw Geld, Ruhm und Ehre sind deutlich größer, wenn man die gefundene Sicherheitslücke veröffentlicht anstatt sie selber zu nutzen.

                Da sehe ich nichts Linux-Spezifisches.

                Ja, ich habe mit Bedacht die Bezüge Deiner Fragen nicht mitzitiert. Ist auch ungeschickt formuliert von mir, da ich hier genau das tue, was ich weiter unten verteufele: ich nehme Argumente, warum etwas _nicht_ ist, anstatt, warum etwas ist. Ich bitte höflichst um Entschuldigung.

                Es ist die Kosten-Nutzen-Rechnung, die zählt. Einen derart hohen Aufwand für einen extrem unwahrscheinlichen Fall zu betreiben nimmt Ressourcen an anderer, höchstwahrscheinlich viel nützlicherer Stelle weg.

                Ich sehe das alles ein, es überzeugt mich aber nicht.

                Ja, so geht's mir auch, aber irgendwo muß einfach Schluß sein und der Pragmatismus zuschlagen sonst findet sich kein Ende und der Aufwand wächst in's Unendliche. Vor allem der finanzielle.

                Auf jeden Fall kann man nur reagieren, nicht vorbeugen, wenn man so arbeitet.

                Wie möchtest Du vorbeugen? Oder besser gefragt: wem oder was möchtest Du vorbeugen? Du kannst einfach nicht wissen was morgen ist, nur was heute vorkommt.

                Deshalb halte ich die unbekümmerten Aussagen, Viren und Co. seien kein Thema für bestimmte Betriebssysteme, für gefährlich.

                Ja, sie sind gefährlich, aber nur, wenn sie wirklich unbekümmert sind.

                Das haben Microsoft und Co. ja schon eingesehen, Stichwort Trusted Computing. Nur der Code wird ausgeführt werden, der zertifiziert bzw. signiert ist.

                Auch diese Idee ist nicht auf deren Mist gewachsen und war auch ursprünglich einmal eine gute Idee. Aber das ist verdammt lange her und hatte ursprünglich auch nichts mit Code zu tun sondern war als eindeutige Knotenidentifizierung gedacht.
                Nur Code auszuführen den man erlaubt ist einfach und benötigt keine Hardwareunterstützung: Listen führen und nur was auf der Liste steht wird ausgeführt. Das funktioniert dann sogar mit Interpretern und man ist auf keine Drittanbieter angewiesen.
                Aber sowas ist _extrem_ unbequem, da sind in 99,9999% der Fälle andere Mittel billiger.

                BTW: auch zertifizierter Code kann Fehler enthalten, die die Ausführung unzertifierten Codes erlauben könnten, dem kann aber natürlich auch mit den Listen nichts entgegengesetzt werden.
                Nein, wenn es ein Schädling erst mal reingeschafft hat, ist nicht mehr viel zu machen, deshalb muß dafür Sorge getragen werden, das keiner reinkommt. Nein, falsch: es muß dafür Sorge getragen werden, das nur reinkommt, was gebraucht wird.
                Ein kleines Beispiel ist die Möglichkeit mittels Bluetooth dem fest in ein Auto eingebautem Telephon eine Adressenliste zu übermitteln (Mensch, wie hieß das Dingen denn jetzt?). Das Auto nimmt ausschließlich die Adressenliste an und zwar nur in einem speziellem Format, das vom Auto auch nur nach erfolgreicher Validierung eingelassen wird. (Dafür sind die Türschlösser besch...eiden wenn ich mich recht entsinne ;-)

                so short

                Christoph Zurnieden

              2. Moin!

                »Virenbefall ist unwahrscheinlich, weil es wenige Viren gibt, die es auf Linux abgesehen haben; es gibt andere, wichtigere Angriffspunkte« mag ein Argument gegen den Einsatz eines Virenscanners auf Linux-Desktops sein. Ein handfestes ist es aber nicht, sondern eher ein hypothetisches, statistisches. Es mag sein, dass man ein System letztlich nur nach solchen Gesichtspunkten absichern kann. Zufrieden stellen kann und sollte das einen trotzdem nicht, da ein Schluss von »Linux-Systeme wurden in der Vergangenheit nur selten durch Viren attackiert« auf die Zukunft sehr heikel ist. Auf jeden Fall kann man nur reagieren, nicht vorbeugen, wenn man so arbeitet. Deshalb halte ich die unbekümmerten Aussagen, Viren und Co. seien kein Thema für bestimmte Betriebssysteme, für gefährlich.

                Viren-Scanning ist IMMER irgendwie statistisch. Man versucht mithilfe der Datenbank möglichst viele bekannte Virensignaturen zu erkennen, erreicht dabei aber niemals 100%, sondern hofft, dass die 99%, welche in der DB stecken, auch genau die sind, die man in freier Wildbahn antrifft und deshalb abwehren kann.

                Und es ist niemals wirklich vorbeugend, sondern immer reagierend. Jeder noch so toll aktuell gehaltene Virenscanner wird zwingend versagen, wenn ihm ein Virus vorgesetzt wird, der exakt so "dressiert" wurde, dass er von Virenscannern (noch) nicht erkannt wird.

                Genau dahin geht momentan jedenfalls ein Trend: Customized Viren, welche gezielt so programmiert werden, dass sie den Scannern nicht auffallen, und die dann gezielt nur einer eng begrenzten, aber interessanten Anwendergruppe (z.B. einer bestimmten Firma) geschickt werden.

                Deshalb ist das Konzept eines Virenscanners tatsächlich irgendwie verfehlt. Benutzer lernen mit einem Virenscanner möglicherweise nicht, welche Anzeichen einer Mail (dem heutigen Haupteinfallstor von Viren und anderer Schadsoftware) zu einer sehr kritischen Hinterfragung des Inhalts führen sollten (also Dinge wie Textinhalt, Dateiendungen, Seltsamkeiten des einliefernden Mailservers etc.), sondern vertrauen unter Umständen dem Votum des Virenscanners (der sich nicht meldet), und öffnen eine Datei neugierigerweise dann doch mal.

                Wenn ich (allerdings aus dritter Hand) höre, dass die IT-Abteilung eines großen multinationalen Unternehmens auf jedem Client und auf den Servern Virenscanner installiert und trotzdem der Viren im Netz nicht Herr werden, und man gemeinsam genutzen Dateien auf dem Fileserver trotzdem mißtrauen und mit Virenbefall rechnen muß, dann scheint doch irgendwas an diesem Konzept nicht zu stimmen.

                Und das "schiefe Konzept" hat eben Windows eingeführt, indem Microsoft (als Monopolist für Officeanwendungen) ausführbare Makros in die Dokumente integrierbar machte und somit eine Grenze zerstörte, die man zuvor jedem Benutzer als eindeutiges Merkmal lehren konnte: Nur ausführbare Programme sind potentiell gefährlich, Datendateien wie Texte sind es nicht. Als weitere Grenze wurde dann abgeschafft, dass datendarstellende Programme wirklich nur die Daten darstellen, aber keinen Code ausführen: Die Outlooks dieser Welt starten in Mails enthaltene Viren ja manchmal schon beim Ansehen des Subjects.

                Linux-Programme machen solchen Scheiß schon mal grundsätzlich nicht. Ich hätte also beispielsweise überhaupt keine Angst, mit irgendeinem Linux-Mailprogramm munter noch so virenverseuchte Mails abzurufen und zu sichten. Unter Windows würde dann vermutlich (genauer: hoffentlich - aber eine Garantie gibt es dafür natürlich nicht) ein Virenscanner anfangen zu meckern, dem unbedarften Benutzer eine wahnsinnige Angst machen (wegen der bedrohlich klingenden Formulierung der Meldungsbox) oder ihn vollkommen kalt lassen (weil die Meldung zu harmlos klingt), und bei Auswahl der falschen Option (z.B. nichts machen - ich will doch nur mal gucken) würde das Outlook dann wohl trotzdem befallen werden.

                Diese Vermischung von ausführbarem Code und Daten hat man unter Linux nicht eingeführt. Das allein ist ein ziemlicher Sicherheitsgewinn.

                Natürlich gibt es Viren unter Linux. Aber jeder Virus muß erstens als Code auf den Rechner gelangen, und zweitens ausgeführt werden. Schritt 1 ist über Mail heute kein Problem, aber Schritt 2 geht unter Windows mit seinem eklatant schlechten Microsoft-Verwischungskonzept wesentlich leichter (durch Ausnutzung von "Lücken" bzw. Systemdesigns, die absichtlich eingebaut wurden), als unter Linux. Selbstverständlich hat die Abwesenheit (auch heute noch) eines vernünftigen User-Systems Windows lange Zeit sowieso zum primären Ziel für Viren gemacht - wenn man als Virus nur gestartet werden muß, und dann automatisch (Win9x) oder sehr wahrscheinlich (WinXP) Administratorzugriff hat, ist das Leben natürlich leichter, als wenn man unter Linux lediglich die vom Benutzer beschreibbaren Programmdateien (also eigentlich fast gar keine, weil alle Applikationen idR. zentral vom Admin installiert werden) infizieren kann, oder sich alternativ erstmal durch eine Sicherheitslücke per "privilege escalation", welche ziemlich abhängig vom konkret kompilierten System ist, zum Root machen muß.

                Die Argumentation pro Linux und contra Windows bei der Viren-Resistenz ist also keine ausschließlich theoretische (vergliche man ein aktuelles, sauber eingerichtetes und administriertes Linux mit einem ebenso gut eingerichtetem WinXP, wären beide vermutlich ähnlich resistent), sondern stark praxisbasiert.

                Das haben Microsoft und Co. ja schon eingesehen, Stichwort Trusted Computing. Nur der Code wird ausgeführt werden, der zertifiziert bzw. signiert ist.

                Diese Idee ist im allerallerersten Ansatz sicherlich verlockend, weil sie in die richtige Richtung zu gehen scheint.

                Allerdings ist der aktuelle Stand beim Trusted Computing ja ein ganz anderer, und auch ein Grundproblem ist dort ja nicht gelöst: Wenn eine Signatur des Programms belegt, daß es vertrauenswürdig sei - wie kriege ich dann hin, dass ich der signierenden Stelle vertrauen kann? Die kann ja schließlich auch Scheiße bauen und einen Virus signieren, den sie einfach nur nicht erkannt hat, weil er sich entweder extrem gut getarnt hat, oder weil diese Stelle sozial kompromittiert wurde (Bestechung etc.).

                Das, wofür du dir TC vorstellst, ist unter Linux nämlich eigentlich schon realisiert: Der normale Benutzer hat gar keine andere Möglichkeit, als irgendeiner höheren Stelle zu vertrauen, daß die Programme, die er ausführt, korrekt arbeiten. Und das ist an dieser Stelle eben der Admin root, welcher seinerseits den ausführbaren Code für den Benutzer read-only verfügbar macht und so Manipulationen am Code durch die User verhindert - genauso, wie es eine digitale Signatur bei TC es auch tun würde. Das Hinzufügen neuer Programme ist dem einzelnen Benutzer zwar möglich (es gibt also keine Whitelist), damit schädigt er sich aber in erster Linie nur selbst.

                Und wenn man argumentiert, ein Virus könne irgendwie dann doch root werden - das wäre grundsätzlich auch mit Whitelists denkbar, denn auch die haben mit Sicherheit Lücken. Wäre z.B. nicht undenkbar, dass ein Virus die gleiche MD5-Prüfsumme hat, wie der Apache-Webserver oder der Perl-Interpreter - um nur einen kleinen Ansatzpunkt zu nennen.

                - Sven Rautenberg

                1. Hallo,

                  Viren-Scanning ist IMMER irgendwie statistisch. (...) Und es ist niemals wirklich vorbeugend, sondern immer reagierend.

                  Das ist selbstverständlich, darauf wollte ich nicht hinaus. Mir ging es darum, dass es fragwürdig ist, anhand von den genannten Statistiken zu entscheiden, ob man überhaupt Sicherungsmechanismen wie Virenscanner auf Desktop-Rechnern für nötig hält.

                  Deshalb ist das Konzept eines Virenscanners tatsächlich irgendwie verfehlt. Benutzer lernen mit einem Virenscanner möglicherweise nicht, welche Anzeichen einer Mail (dem heutigen Haupteinfallstor von Viren und anderer Schadsoftware) zu einer sehr kritischen Hinterfragung des Inhalts führen sollten (also Dinge wie Textinhalt, Dateiendungen, Seltsamkeiten des einliefernden Mailservers etc.), sondern vertrauen unter Umständen dem Votum des Virenscanners (der sich nicht meldet), und öffnen eine Datei neugierigerweise dann doch mal.

                  Das ist einfach zu sagen, missachtet aber, dass der Unwille, alles von Hand zu prüfen, gerade der Grund ist, warum Virenscanner eingesetzt werden. Mit der Forderung, dass der Benutzer eine E-Mail letztlich ohne Hilfsmittel wie Virenscanner beurteilen können muss, weil kein Hilfsmittel zuverässig ist, kann man Virenscanner besserwissend für gänzlich unnötig halten und in Anbetracht des falschen Sicherheitsgefühls sogar als schädlich bezeichnen. So korrekt diese Analyse sein mag, es ist ein Elfenbeinturm-Argument des Computerprofis, das die Frage nach der praktischen Sinnhaftigkeit von Virenscannern für Durchschnittsnutzer wenig tangiert. Ich selbst z.B. benötige keinen Virenscanner, weil ich Spam und Würmer erkenne. Aber ich bin im Vergleich zum gemeinen E-Mail-Nutzer ein Freak und nicht die Angehöriger der Gruppe, deren Nachfrage Virenscanner-Hersteller bedienen.

                  Und das "schiefe Konzept" hat eben Windows eingeführt, indem Microsoft (als Monopolist für Officeanwendungen) ausführbare Makros in die Dokumente integrierbar machte und somit eine Grenze zerstörte, die man zuvor jedem Benutzer als eindeutiges Merkmal lehren konnte: Nur ausführbare Programme sind potentiell gefährlich, Datendateien wie Texte sind es nicht. Als weitere Grenze wurde dann abgeschafft, dass datendarstellende Programme wirklich nur die Daten darstellen, aber keinen Code ausführen: Die Outlooks dieser Welt starten in Mails enthaltene Viren ja manchmal schon beim Ansehen des Subjects.

                  Hier wirfst du Dinge in einen Topf, die überhaupt nicht zusammengehören. Um mich zu zitieren: »Nun kann man z.B. argumentieren, aus bestimmten ›Drittgründen‹ hat es ein Virus unter Windows einfacher, seinen Schadcode zu starten (z.B. Sicherheitslücken in Internet-bezogenen Microsoft-Programmen). Aber gibt es davon abgesehen einen prinzipiellen Grund? Mir ist keiner ersichtlich.«
                  Windows ist ein Betriebssystem, die Fehler machen die Microsoft’schen Anwendungsprogramme. Der Fehler kann behoben werden, indem man kein Outlook, kein Word und kein Internet Explorer verwendet bzw. alle auf die höchste Sicherheitstufe konfiguriert, sodass die von dir genannten »Features« möglichst abgeschaltet sind.
                  Gut, das ist alles selbstverständlich. Aber die Frage, ob man nun nach diesen fundamental notwendigen Maßnahmen ein Anti-Viren/Wurm/Trojaner/Adware-Programm braucht, ist damit noch nicht beantwortet.

                  Linux-Programme machen solchen Scheiß schon mal grundsätzlich nicht. Ich hätte also beispielsweise überhaupt keine Angst, mit irgendeinem Linux-Mailprogramm munter noch so virenverseuchte Mails abzurufen und zu sichten.

                  Wieso sollte man die Angst unter Windows haben? Der Punkt ist der müllige E-Mail-Client, der zwar faktisch im Windows-Umfeld heimisch ist, aber nicht prinzipiell auf einen Unterschied zwischen den Betriebssystemen verweist. Ein mülliger E-Mail-Client, der die genannten »Features« hat, ist auch für Linux denkbar. Wenn man vernünftige Software auf welchem System auch immer einsetzt, stellt sich die Frage nach Anti-Viren-Software auf beiden Systemen ähnlich.

                  Natürlich gibt es Viren unter Linux. Aber jeder Virus muß erstens als Code auf den Rechner gelangen, und zweitens ausgeführt werden. Schritt 1 ist über Mail heute kein Problem, aber Schritt 2 geht unter Windows mit seinem eklatant schlechten Microsoft-Verwischungskonzept wesentlich leichter (durch Ausnutzung von "Lücken" bzw. Systemdesigns, die absichtlich eingebaut wurden), als unter Linux.

                  Nochmal die Frage, was ist an diesem Konzept Eigenheit des Systems an sich?

                  Die Argumentation pro Linux und contra Windows bei der Viren-Resistenz ist also keine ausschließlich theoretische (vergliche man ein aktuelles, sauber eingerichtetes und administriertes Linux mit einem ebenso gut eingerichtetem WinXP, wären beide vermutlich ähnlich resistent), sondern stark praxisbasiert.

                  Eben darauf wollte ich hinweisen. Es lassen sich nämlich nicht viele Standpunkte konsequent vertreten. An dem simplen »Linux braucht keinen Virenscanner« vermisste ich diese allgemeine Erörterung. Notwendigerweise muss man bei allen Systemen zunächst alle systemeigenen Sicherungsmechanismen ausnutzen. Bei den Anwendungsprogrammen muss jeweils die sicherere Alternative bzw. die bestmögliche Konfiguration gewählt werden. Ein System ist nicht naturgemäß sicher als ein anderes, sondern aus bestimmten Gründen, die man klären muss, bevor man über die Möglichkeiten und die Nützlichkeit von Virenscannern diskutiert.

                  Allerdings ist der aktuelle Stand beim Trusted Computing ja ein ganz anderer, und auch ein Grundproblem ist dort ja nicht gelöst: Wenn eine Signatur des Programms belegt, daß es vertrauenswürdig sei - wie kriege ich dann hin, dass ich der signierenden Stelle vertrauen kann? Die kann ja schließlich auch Scheiße bauen und einen Virus signieren, den sie einfach nur nicht erkannt hat, weil er sich entweder extrem gut getarnt hat, oder weil diese Stelle sozial kompromittiert wurde (Bestechung etc.).

                  Deswegen ist es prinzipiell fragwürdig, ein solches universales Vertrauenssystem, das jeglichen Programmcode abdecken will, auf wenigen Zertifizierungsstellen aufzubauen, denen man volles Vertrauen ohne jegliche Kontrollmöglichkeit schenken muss.

                  Mathias

  3. hallo,

    Brauche ich für Linux eigentlich eine Firewall oder einen Virensacenner?

    Firewalls gibt es für Linux sehr viele und sehr unterschiedliche. Wenn dir klar ist, was eine Firewall überhaupt tun soll, kannst du auch entscheiden, ob du eine brauchst oder nicht. Eine pauschale Aussage dazu ist nicht möglich.

    Virenscanner, die auch unter Linux eingesetzt werden, sind zum größten Teil dazu da, um eingehende mails nach eventuellen Viren/Würmern zu scannen. Für das Betriebssystem selbst besteht kaum Gefahr, was auch daran liegt, daß sich die Entwickler von Würmern, Viren und anderen netten Krabbeltierchen auf Windows konzentrieren. Mir ist kein einziger "Linux-Virus" bekannt. Übrigens würde man sich die meisten Virenscanner für Windows ebenfalls sparen können, wenn Windows-Benutzer eine Firewall korrekt installieren/bedienen könnten. Eine falsch eingestellte Firewall kann (unabhängig vom Betriebssystem) mehr Schaden anrichten als ein Virus  -  etwas überspitzt ausgedrückt.

    Und wenn doch: Welche empfehlt ihr mir?

    Viele Firewalls bauen auf iptables auf, die entsprechenden Pakete sind bei jeder Distribution enthalten und können installiert werden. Daneben gibt es noch zahlreiche andere  -  Google ist dein Freund. Und sehr zu empfehlen ist auch ein Blick in die Wikipedia

    Grüße aus Berlin

    Christoph S.

    1. Hallo,

      Für das Betriebssystem selbst besteht kaum Gefahr, was auch daran liegt, daß sich die Entwickler von Würmern, Viren und anderen netten Krabbeltierchen auf Windows konzentrieren. Mir ist kein einziger "Linux-Virus" bekannt.

      Was ist das für ein Argument? »Wiege dich ruhig in Sicherheit, es wird schon schiefgehen«? Am schlimmsten für die Sicherheit eines Systems ist ein Anwender, der sich aus fadenscheinigen Gründen abgesichert fühlt und entsprechend unvorsichtig handelt.

      Mathias

      1. hallo mathias,

        Für das Betriebssystem selbst besteht kaum Gefahr [...] Mir ist kein einziger "Linux-Virus" bekannt.
        Was ist das für ein Argument? »Wiege dich ruhig in Sicherheit, es wird schon schiefgehen«?

        Nein. Und ich habe ja auch nicht gesagt "es gibt keine Linux-Viren". Vor ungefähr drei Jahren gabs mal in irgendeiner mailing-Liste eine Diskussion, daß Linus Thorwalds höchstselbst einen experimentellen Virus gebaut hätte ...

        Das größere Problem bei Linux/UNIX-Servern sind beispielsweise DOS-Attacken. Aber das ist eine ganz andere Diskussion als die um Firewalls/Virenscanner.

        Am schlimmsten für die Sicherheit eines Systems ist ein Anwender, der sich aus fadenscheinigen Gründen abgesichert fühlt und entsprechend unvorsichtig handelt.

        Richtig. ich habe aber bestimmt nicht in dieser Richtung argumentieren wollen. Diese Auslegung wäre ein fatales Mißverständnis.

        Grüße aus Berlin

        Christoph S.

        1. Hallo Christoph

          Für das Betriebssystem selbst besteht kaum Gefahr [...] Mir ist kein einziger "Linux-Virus" bekannt.
          Was ist das für ein Argument? »Wiege dich ruhig in Sicherheit, es wird schon schiefgehen«?

          Nein. Und ich habe ja auch nicht gesagt "es gibt keine Linux-Viren". Vor ungefähr drei Jahren gabs mal in irgendeiner mailing-Liste eine Diskussion, daß Linus Thorwalds höchstselbst einen experimentellen Virus gebaut hätte ...

          Ergebnis einer schnellen Google-Suche mit den beiden Suchbegriffen "Virus" und "Linux" zeigt, dass es sehr wohl welche gibt:-) Sind nicht sogar die ersten Viren überhaupt auf *ix-Systemen entwickelt worden?

          Das größere Problem bei Linux/UNIX-Servern sind beispielsweise DOS-Attacken. Aber das ist eine ganz andere Diskussion als die um Firewalls/Virenscanner.

          Was ist mit Rootkits?

          Am schlimmsten für die Sicherheit eines Systems ist ein Anwender, der sich aus fadenscheinigen Gründen abgesichert fühlt und entsprechend unvorsichtig handelt.

          Svens Rautenbergs Hauptargument gegen "Personal Firewalls", soweit ich mich erinnere.

          Freundliche Grüße

          Vinzenz

          1. Moin!

            Am schlimmsten für die Sicherheit eines Systems ist ein Anwender, der sich aus fadenscheinigen Gründen abgesichert fühlt und entsprechend unvorsichtig handelt.

            Svens Rautenbergs Hauptargument gegen "Personal Firewalls", soweit ich mich erinnere.

            Die ganz normale Risikokompensation, würde ich meinen. Wer mit dem vollen Bewußtsein, daß sein Auto ja ABS und Airbag besitzt (heutzutage muß dann auch noch ESP, Bremsassistent und adaptives Kurvenlicht dazugenommen werden), durch die Gegend fährt, wird sich eventuell eines riskanteren Fahrstils befleißigen und am Ende wohlmöglich einen schwereren Unfall bauen, bei dem ihm ABS und Airbag dann doch nicht mehr helfen könnten.

            Wobei dieses Beispiel natürlich auch wieder etwas hinkt, weil ein riskanter Fahrstil sich direkt durch physikalisches Feedback (Drücken in der Magen-, Rücken oder Lendengegend oder diagonal im Brustbereich) bemerkbar macht und man eine Grenze deshalb nicht überschreiten wird, auch wenn nichts passiert - wohingegen der elektronische Rechenknecht sich nicht durch z.B. das Austeilen von Elektroschocks wehrt, wenn man besonders riskante Dateiöffnungsoperationen durchzuführen im Begriff ist.

            - Sven Rautenberg

  4. Hi Muriel,

    Kurze Frage: Brauche ich für Linux eigentlich eine Firewall oder einen Virensacenner? Wenn das stimmt, was man so über die Sicherheit Linux' sagt, dann eigentlich nicht, oder?

    Eine 'Firewall' im Sinne einer Software aus einer bunten Schachtel und ein lokaler 'Virenscanner' sind aus der Perspektive von Linux aus betrachtet ziemlich abwegige Konzepte der Systemsicherheit.

    Eine Firewall ist ein Konzept zur Absicherung eines Netzwerkes und ein Virenscanner ein Hilfsdienst für Mailboxen.

    Ein Linuxsystem wird durch vernünftige Installation und Wartung vor Viren und Angriffen aus dem Netz geschützt, anstatt durch obskure Zusatzsoftware andere Software, die man auch schon nicht verstanden hat, vom Arbeiten abzuhalten.

    Das setzt eine andere Herangehensweise als unter Windows vorraus: stundenlanges Lesen, Lernen, Einstellen statt stundenlanges planloses rumfummeln.

    Gruß,
      Carsten

    1. hallo Carsten,

      Eine Firewall ist ein Konzept zur Absicherung eines Netzwerkes

      ACK.

      und ein Virenscanner ein Hilfsdienst für Mailboxen.

      Das ist zu kurz argumentiert. Für jemanden, der gerade von Windows "umsteigen" will, ist ein Virenscanner eine Software, die das Gesamtsystem nach Viren/Würmern/Malware/usw. absucht und befallene Dateien auflistet oder "böse" Dateien gleich ganz und gar vernichtet. Die "Linux-Denkweise" steht dazu in diametralem Gegensatz, und das muß man halt erstmal kapieren.

      Ein Linuxsystem wird durch vernünftige Installation und Wartung vor Viren und Angriffen aus dem Netz geschützt

      Ja.

      anstatt durch obskure Zusatzsoftware andere Software, die man auch schon nicht verstanden hat, vom Arbeiten abzuhalten.

      Wieder zu kurz argumentiert. Weil du jetzt die "Windows-Denkweise" auf ein Linux portierst.

      Das setzt eine andere Herangehensweise als unter Windows vorraus

      Nein. Es setzt sie _voraus_ ;-)

      Im übrigen meine ich, daß das entsprechende Kapitel in SELFLINUX hier durchaus einmal erwähnt werden darf. Alles Grundlegende steht da auch drin.

      Grüße aus Berlin

      Christoph S.

      1. Hi,

        [...] ist ein Virenscanner eine Software, die das Gesamtsystem nach Viren/Würmern/Malware/usw. absucht und befallene Dateien auflistet oder "böse" Dateien gleich ganz und gar vernichtet.

        Ein Problem dabei ist, dass der Virenscanner nur vorgaukelt ein befallenes System 'säubern' zu könnnen und es unterlässt dem Anwender  klar zu machen, dass er sich dabei auf *sehr* dünnem Eis bewegt.

        Im Klartext: Ein von Viren befallenes System nicht von sauberen Datenträgern komplett neu aufzusetzen ist grob fahrlässig!

        Carsten

        1. [...] ist ein Virenscanner eine Software, die das Gesamtsystem nach Viren/Würmern/Malware/usw. absucht und befallene Dateien auflistet oder "böse" Dateien gleich ganz und gar vernichtet.

          Ein Problem dabei ist, dass der Virenscanner nur vorgaukelt ein befallenes System 'säubern' zu könnnen und es unterlässt dem Anwender  klar zu machen, dass er sich dabei auf *sehr* dünnem Eis bewegt.

          Du verdrehst die Wahrheit ziemlich.

          1. Christoph sprach nicht von einem befallenen System, sondern von befallenen Dateien. Natürlich ist es möglich, irgendwelche Dateien mit Schadcode zu vernichten und damit das System zu säubern.
          2. Sobald Virenscanner bemerken, dass ein Virus *aktiv* geworden ist und das System befallen ist, also nicht nur irgendwo eine einsame befallene Datei herumliegt, drängen sie den Anwender unmittelbar dazu, das System von einem nicht befallenen Datenträger zu booten. Welcher Virenscanner geht nicht so vor?

          Mathias

          1. Hallo Mathias,

            1. Sobald Virenscanner bemerken, dass ein Virus *aktiv* geworden ist und das System befallen ist, also nicht nur irgendwo eine einsame befallene Datei herumliegt, drängen sie den Anwender unmittelbar dazu, das System von einem nicht befallenen Datenträger zu booten. Welcher Virenscanner geht nicht so vor?

            AntiVir z. B. Es gab hier viele Fälle von Infektionen mit einer Version des Backdoors/Trojaners Agent. AntiVir hat den vermeintlichen Schädling auch fleißig gelöscht und dem Anwender dadurch Sicherheit vorgegaukelt. Nur - AntiVir hat nur die Dateien gelöscht, die der Schädling erstellt hat (die Log-Dateien), nicht aber den Schädling selbst. So kamen die Meldungen von AntiVir immer wieder, aber da AntiVir ja vermeintlich den Schädling immer wieder gelöscht hatte, war alles in Ordnung. Also fühlte man sich sicher. Scheinsicher. Auch Geschäftsführer von nicht gerade kleinen Firmen.

            Viele Grüße

            Jörg

            1. Hallo,

              Sobald Virenscanner bemerken, dass ein Virus *aktiv* geworden ist und das System befallen ist, also nicht nur irgendwo eine einsame befallene Datei herumliegt, drängen sie den Anwender unmittelbar dazu, das System von einem nicht befallenen Datenträger zu booten. Welcher Virenscanner geht nicht so vor?

              AntiVir z. B. Es gab hier viele Fälle von Infektionen mit einer Version des Backdoors/Trojaners Agent. AntiVir hat den vermeintlichen Schädling auch fleißig gelöscht und dem Anwender dadurch Sicherheit vorgegaukelt. Nur - AntiVir hat nur die Dateien gelöscht, die der Schädling erstellt hat (die Log-Dateien)

              Die Frage ist ja: Hat AntiVir den Befall des Systems an sich korrekt registriert oder nur Wirkungen des Schädlings (Logdateien) festgestellt, diese aber wegen schlechten Erkennungsalgorithmen nicht auf die Ursache (= das gesamte System ist befallen, der Virus ist aktiv) zurückgeführt?

              Sicherlich hat AntiVir im zweiten Fall einen Fehler, weil es nicht korrekt den Systembefall feststellt und nicht korrekt von Trojaner-Hinterlassenschaften auf einen installierten Trojaner schließt. Im ersten Fall läge jedoch ein absichtliches grobes Fehlverhalten vor, um das es mir ging.

              So kamen die Meldungen von AntiVir immer wieder, aber da AntiVir ja vermeintlich den Schädling immer wieder gelöscht hatte

              Das sieht nicht so aus, als würde AntiVir absichtlich nur die Symptome behandeln. Dein Beispiel würde meine Aussage widerlegen, wenn es tatsächlich Anti-Viren-Programme geben, die einen eindeutigen Hinweis darauf finden, dass das System als Ganzes kompromittiert wurde (und also einen solchen Hinweis korrekt zu deuten wissen). In deinem Beispiel scheint AntiVir aber einfach eine schlechte Heuristik anzuwenden. Soweit ich weiß, fordert auch AntiVir dazu auf, das System von einem unbefallenen Datenträger zu booten, sobald das Programm hinreichende Hinweise darauf findet, dass Virencode ausgeführt wurde. Es scheint mir unwahrscheinlich, dass AntiVir aus Prinzip nur versucht, Symptome zu bekämpfen (was eben nie zu einer Desinfektion des Systems führen kann).

              Du hast in dem Fall natürlich trotzdem recht, das Löschen der Spuren des Trojaners wiegt den Benutzer zunächst in falscher Sicherheit. Aber spätestens dann, wenn er beim nächsten Systemstart wieder dieselbe Meldung bekommt, sollten ihm die Augen aufgehen. In den gängigen Anleitungen zum Entfernen von Viren etc. ist immer der erste Schritt das Überprüfen des Systems »von außen« und ggf. das Neuinstallieren aller Dateien mit ausführbarem Code.

              Mathias

              1. Dein Beispiel würde meine Aussage widerlegen, wenn es tatsächlich Anti-Viren-Programme geben, die einen eindeutigen Hinweis darauf finden, dass das System als Ganzes kompromittiert wurde (und also einen solchen Hinweis korrekt zu deuten wissen). (...)

                Zweiter Versuch:
                Dein Beispiel würde meine Aussage widerlegen, wenn es tatsächlich Anti-Viren-Programme gäbe, die bei einem eindeutigen Hinweis darauf finden, dass das System als Ganzes kompromittiert wurde (und also einen solchen Hinweis korrekt zu deuten wissen), nicht dazu auffordern, dass kompromittierte System von einem sauberen Datenträger aus zu reparieren. In deinem Beispiel scheint AntiVir aber einfach eine schlechte Heuristik anzuwenden.

              2. Hi Mathias,

                zunächst mal: Ein Antivirenprogramm ist auch nur das, was der Entwickler ihm beigebracht hat. Mit allen Schwächen. Dazu kommt, daß ein Antivirenprogramm auf dem zu schützenden System läuft, mit den Rechten, die der User auch hat. So viel taugt es auch.

                Die Frage ist ja: Hat AntiVir den Befall des Systems an sich korrekt registriert oder nur Wirkungen des Schädlings (Logdateien) festgestellt, diese aber wegen schlechten Erkennungsalgorithmen nicht auf die Ursache (= das gesamte System ist befallen, der Virus ist aktiv) zurückgeführt?

                Jein. AntiVir hat festgestellt, daß es Dateien gibt, deren Merkmale in der Datenbank von Antivir gespeichert waren. Und das waren halt nur die Logdateien, die durch den Agent erzeugt worden sind. Also die Wirkungen, nicht die Ursache. Der eigentliche Schädling, die gmt.exe, blieb unbeachtet und hätte sonstwas machen können. Vielleicht hätte er ja irgendwann eine Datei heruntergeladen und einen Systemprozess durch die Datei ersetzt? Keine Ahnung.

                Sicherlich hat AntiVir im zweiten Fall einen Fehler, weil es nicht korrekt den Systembefall feststellt und nicht korrekt von Trojaner-Hinterlassenschaften auf einen installierten Trojaner schließt. Im ersten Fall läge jedoch ein absichtliches grobes Fehlverhalten vor, um das es mir ging.

                Ja, aber das ist doch prinzipbedingt. S. o.

                Dein Beispiel würde meine Aussage widerlegen, wenn es tatsächlich Anti-Viren-Programme geben, die einen eindeutigen Hinweis darauf finden, dass das System als Ganzes kompromittiert wurde (und also einen solchen Hinweis korrekt zu deuten wissen).

                Das Problem besteht doch darin, daß ein Antivirenprogramm niemals aktuell sein kann, auf dem zu schützenden System läuft und aufgrund der Heuristik nur Annahmen vornehmen kann.

                Das Antivirenprogramm erkennt eine Datei, die Merkmale hat, die in der DB gespeichert sind. Demzufolge meckert es oder auch nicht. Wenn die Datei im RAM liegt, ist vielleicht auch das System befallen, wenn nicht, ist es vielleicht nur der Anhang einer Mail, der noch nicht mal aufgerufen wurde. Wenn nur durch den Schädling erstellte Dateien gefunden werden, ist es für das Antivirenprogramm halt der Schädling. Das Antivirenprogramm kann dann nicht eventuelle Zusammenhänge herstellen, es sei denn, der Entwickler hat es ihm beigebracht. Und da die Schreiberlinge von Schädlingen den Entwicklern der Antivirensoftware immer voraus sind, kann ein Antivirenprogramm gar nicht alles erkennen.

                In deinem Beispiel scheint AntiVir aber einfach eine schlechte Heuristik anzuwenden. Soweit ich weiß, fordert auch AntiVir dazu auf, das System von einem unbefallenen Datenträger zu booten, sobald das Programm hinreichende Hinweise darauf findet, dass Virencode ausgeführt wurde. Es scheint mir unwahrscheinlich, dass AntiVir aus Prinzip nur versucht, Symptome zu bekämpfen (was eben nie zu einer Desinfektion des Systems führen kann).

                Leider muß ich AntiVir immer wieder einsetzen. Der Grund ist, daß AntiVir selbst einfachsten Code als Schädling bemeckert. Wenn das dann beim Auftraggeber passiert, ist das nicht so gut. Aber AntiVir (zumindest die kostenlose Version) bringt sehr viele False Positives, so daß ich die Heuristik durchaus in Frage stellen würde. Eine Mitteilung, daß mein System befallen sei, hat AntiVir noch nie gebracht. Es wurde immer nur gefragt, ob die Datei umbenannt oder gelöscht werden soll. Allerdings, das muß ich zugeben, hatte ich auch noch keinen Schädling im RAM.

                Du hast in dem Fall natürlich trotzdem recht, das Löschen der Spuren des Trojaners wiegt den Benutzer zunächst in falscher Sicherheit. Aber spätestens dann, wenn er beim nächsten Systemstart wieder dieselbe Meldung bekommt, sollten ihm die Augen aufgehen.

                Ja, sollten. Das ist aber leider das Problem. Es wird massenhaft "Sicherheitssoftware" angeboten, die den PC ja so sicher macht. Darauf verläßt man sich dann. Man freut sich dann sogar: "Mein Programm kriegt alles mit.", auch, wenn es sich nur um eine harmlose Meldung handelt. Und hat man dann noch eine PFW installiert, freut man sich, wenn die einen einfachen Ping meldet. Die Software macht den PC ja so sicher. Und wenn einem die Meldungen zu viel werden oder man sie nicht versteht, schaltet man sie einfach aus.

                Das ist dieser Placeboeffekt. Man hat eine Software installiert, auf die man sich verlassen kann. Leider habe ich das diese Woche erst wieder erlebt. Kein SP2 auf XP, aber Norton. Die Bots haben sich gefreut und ich habe einen Tag lang am Telefon gehangen, um die Folgen (und natürlich auch die Ursache) zu beseitigen. Formatieren ging nicht, denn: Backup? Image? Was ist das?

                In den gängigen Anleitungen zum Entfernen von Viren etc. ist immer der erste Schritt das Überprüfen des Systems »von außen« und ggf. das Neuinstallieren aller Dateien mit ausführbarem Code.

                Steht in den gängigen Anleitungen nicht immer zuerst, wie gut die "Sicherheitssoftware" ist?

                Viele Grüße

                Jörg

                1. Hallo Jörg,

                  Jein. AntiVir hat festgestellt, daß es Dateien gibt, deren Merkmale in der Datenbank von Antivir gespeichert waren. Und das waren halt nur die Logdateien, die durch den Agent erzeugt worden sind. Also die Wirkungen, nicht die Ursache. Der eigentliche Schädling, die gmt.exe, blieb unbeachtet und hätte sonstwas machen können. Vielleicht hätte er ja irgendwann eine Datei heruntergeladen und einen Systemprozess durch die Datei ersetzt? Keine Ahnung.

                  Du weisst aber, dass die Gratisversion von AntiVir nur die Aufgabe hat Viren zu entfernen, oder?
                  gmt.exe hat nix mit Viren zu tun sondern mit einer "Spyware" von Claria aka Gator (bald Microsoft...?) und diese Software lässt sich mit einem geeigneten Deinstallationsprogramm wieder entfernen!

                  Grüsse
                  Siramon,
                       ja nutzt auch AntiVir

    2. Hallo,

      ein Virenscanner ein Hilfsdienst für Mailboxen.
      Ein Linuxsystem wird durch vernünftige Installation und Wartung vor Viren und Angriffen aus dem Netz geschützt, anstatt durch obskure Zusatzsoftware andere Software, die man auch schon nicht verstanden hat, vom Arbeiten abzuhalten.

      Wozu verwendet ein Windows-Nutzer das Anti-Viren-Programm? Um jegliche von außen kommenden Daten zu prüfen. E-Mail ist *ein* Weg, durch den schädlicher Code auf den Rechner gelangen kann. Das Herunterladen von Software und anderen vermeintlich unschädlichen Daten ist ein anderer Weg. (Das heißt nicht, dass sie jeweils ihre schädliche Wirkung schon allein dadurch entfalten, dass sie auf dem Rechner herumliegen.)
      Was ist nun der angebliche fundamentale Unterschied bei einem Linux-System? Möglicherweise schädlicher Code kommt auf verschiedenen Wegen ins System. Läd man Ausführbares von zweifelhaften oder nur scheinbar vertrauensvollen Quellen herunter, ist man einem Risiko ausgesetzt. Läd man andere Daten herunter, unter Umständen auch, wie z.b. Fehler in Grafikbibliotheken gezeigt haben. Dagegen *kann* ein Anti-Viren-Programm ein Schutz sein - zumindest wenn es, wie auf Windows-Desktops, alle Dateizugriffe überwacht. Ob das sinnvoll ist, ist eine andere Diskussion. Auf jeden Fall ist es kein Argument, dass vernünftige Installation und Wartung das Nonplusultra gegen Viren sind und Virenscanner per se überflüssig machen. Die Fälle, gegen die ein Virenscanner vorgeht, sind nicht durch vernünftige Wartung abdeckbar.
      Sowieso gilt für Windows dasselbe: Wer glaubt, ein Virenscanner könnte die Systemwartung ersetzen, fährt genauso schlecht. Wenn man von einem Anti-Viren-Programm etwas verlangt, was es prinzipiell nicht vermag, ist ein Virenscanner aus jeder Perspektive betrachtet ein abwegiges Konzept der Systemsicherheit.

      Mathias