Hi,
Warum geht keine Gefahr von ihnen aus?
Weil der Einsatz für den Angreifer nicht lohnt: es gibt weder Geld noch Ruhm noch Ehre bzw Geld, Ruhm und Ehre sind deutlich größer, wenn man die gefundene Sicherheitslücke veröffentlicht anstatt sie selber zu nutzen. So ein bereits angesprochenes Rootkit ist jedoch _sehr_ lohnenswert, besonders auf großen Servern mit dicker Anbindung und/oder wertvollen Daten.
(Warum geht eine Gefahr von ihnen speziell für Windows aus?)
Es gibt sehr selten einen Windowsserver mit dicker Anbindung, da macht es die Masse: mehr Angriffe sind nötig also sind auch mehr Angriffe zu erwarten. Es jedoch recht häufig Windowsserver mit kostbaren Daten: es lohnt sich finanziell aber vielleicht ist das Script-Kiddie auch auf Ruhm und Ehre aus; auch hier sind mehr Angriffe zu erwarten.
Masse bietet auch ein gewisses Maß an Anonymität, man wird nicht so leicht erwischt, wenn man unter 50.000 Zombies immer mal wieder einen anderen zur Steuerung des Clusters benutzt und danach freigibt (bei einem so großem Cluster gibt es auch raffiniertere Möglichkeiten. Allerdings werde ich eine Teufel tun und die hier darlegen. Kenntnis der Methode ist zudem für die Abwehr ausnahmsweise mal nicht wichtig).
Weil mit Windows-Viren aufgrund ihrer Häufigkeit »zu rechnen ist«, mit Linux-Viren eher nicht, weil sie selten sind? Wie gesagt wiegt das Argument in falscher Sicherheit und leugnet die Notwendigkeit jeglicher Vorbeugung.
Es ist die Kosten-Nutzen-Rechnung, die zählt. Einen derart hohen Aufwand für einen extrem unwahrscheinlichen Fall zu betreiben nimmt Ressourcen an anderer, höchstwahrscheinlich viel nützlicherer Stelle weg.
(Wie gesagt, man kann durchaus die These vertreten, dass ein Virenscanner, der im Hintergrund läuft, im Allgemeinen Unsinn ist. Dafür könnte ich mir zumindest eine konsequente Argumentation vorstellen.)
Ich würde sogar so weit gehen und behaupten, das das Prinzip eines Virenscanners verfehlt ist. Die Menge "Kein Virus durchlassen" ist, wie das Wörtchen "kein" schon impliziert zwar abzählbar jedoch trotzdem unendlich, "Nur Genehmigtes durchlassen" ist hingegen endlich. Deshalb ist das Prinzip jeder guten Firewall auch: "Nur Genehmigtes zulassen, wenn überhaupt".
Da das auch die Antivirenproduzenten wissen gibt es drei Möglichkeiten: die wollen dem User die komplizierten Einstellungen ersparen oder es ist ihnen zu kompliziert. Ich persönlich vermute aber, das es Alternative drei ist.
so short
Christoph Zurnieden