Virenschutz unter Linux?!?

TuxDer langjährige Windowsnutzer legt sein tägliches Augenmerk auf den Virenschutz und ist stets bedacht, das Programm eines Herstellers einzusetzen, welchem man die Kompetenz zuspricht dies besonders gut zu tun. Wechselt dieser Windowsnutzer nun auf Linux erwartet ihn eine andere Welt. Nach einem Wechsel auf Linux, werde ich von den wechselnden Leuten oft gefragt, ob Hersteller XY (durch den vorher unter Windows benutzen Softwareanbieter ersetzen), für Linux auch eine Version anbieten würde und die Reaktion auf die Antwort, dass man darauf eigentlich getrost verzichten kann, ist fast immer Ungläubigkeit.

Um dies zu verstehen muss man sich die Verbreitungstechnik von Viren genauer anshen: Meist wird der schadhafte Code über E-Mails, Chats, Downloads und weitere, selbst angestossene, Anwendungsarten auf den PC gelangen. Die Virenschreiber spielen hier bewusst mit der häufigen Unwissenheit der Anwendung, so werden ausführbare Dateien, die aus vermeintlich sicherer Quelle zu kommen scheinen, wie einem Kontakt aus dem Adressbuch, gerne geöffnet. Häufig reicht es auch schon aus den schadhaften Code so zu benennen dass er für den Anwender lohnend erscheint. Ist der Code einmal ausgeführt ist das eigene System infiziert und der Virus/Wurm kann sich aufmachen weitere PCs des Netzwerkes zu befallen. Möglich ist dies durch die Rechtestruktur, oder den Mangel einer Solchen, unter Windows.

Unter Linux ist das Rechtesystem ein Mehrstufiges: Dateien können lesbar sein, schreibbar, oder ausführbar und dies für den Root-Benutzer, den angemeldeten Benutzer und den Rest der Welt. Damit ein ein Code das gesamte System befallen kann, muss es Root-Rechte besitzen und dazu muss es explizit berechtigt werden, durch den Anwender. Dateien die man über die oben genannten Wege aus dem Internet bezieht, sind unter Linux nicht ausführbar, man muss diese Möglichkeit erst erlauben. Somit ist man auf einer relativ sicheren Seite und kann auf den Virenschutz verzichten.

Stimmt das uneingeschränkt?

Bedingt! Nutz man den PC privat und versendet selten Anhänge, oder der Anbieter über den man seine Mails versendet setzt einen Virusscan ein, kann man gerne auf den lokalen Schutz verzichten, die Gefahr jemanden etwas Böses zu tun ist gering.

Genau darum geht es nämlich, jemanden etwas Böses zu tun. Der eigene Arbeitsplatz ist dank Linux immun gegen den schadhaften Code, bemerkt allerdings auch nicht ob eine heruntergeladene Datei infiziert ist. Schickt man diese nun an einen Windowsbenutzer weiter, kann es natürlich schnell unangenehme Folgen haben – für den empfangenden Windows PC. Selbiges gilt natürlich auch für Fileserver, die unter Linux laufen und in einem gemischen Umfeld betrieben werden.

Das ist ein Gedankengang den man in Betracht ziehen sollte. Gerade im gewerblichen Umfeld wird man bei einem versendeten Virus/Wurm schnell haftbar gemacht, denn man hat dafür Sorge zu tragen dass die versendeten Dateien nach bestem Gewissen geprüft sind. Schnell stellt sich unter Linux eine Mentalität der Unangreifbarkeit ein, zumindest was schadhaften Code im klassischen Sinne betrifft. Man denkt nicht mehr an Windowsnutzer, die aktuell jedoch den Grossteil der Nutzerschaft ausmachen.

Man barucht hier keinen grossartigen Virenschutz mit Real-Time Scanner, wie man sie als Werbebotschaften der Hersteller häufig angepriesen bekommt, es reicht ein Scanner, mit dem man schnell eine Datei vor dem Versand überprüfen kann. Sollte der Mailanbieter einen Virenschutz anbieten, reicht dies wahrscheinlich rechtlich auch schon aus. Ganz ohne Überprüfung sehe ich in naher Zukunft allerdings häufiger rechtliche Probleme auftauchen, denn man übergeht wissentlich seine „Sorgfaltspflicht“.

Wie steht ihr dazu? Eure Meinung zum Thema Virenschutz unter Linux interessiert mich.

21 Gedanken zu „Virenschutz unter Linux?!?

  • Freitag 13th November 2009 um 8:57
    Permalink

    Das Argument mit den Rechten stimmt so nicht. Klar, ohne root-Rechte kann ein Schädling keine tiefgehenden Eingriffe ins System vornehmen, aber normale User-Rechte reichen vollkommen. Der Schädling kann sich nämlich auch ohne root-Rechte in den Autostart von Gnome, KDE etc. einnisten, Daten sammeln, Daten löschen, E-Mails versenden, Passwörter auslesen und auf Ports jenseits von 1000 sogar Dienste anbieten. Das einzige was ein Schädling ohne Root-Rechte tatsächlich nicht tun kann: Sich auf andere Benutzerkonten ausbreiten.

    Was sowohl unter Windows als auch unter Linux essentiell ist, ist Nachdenken und gesundes Misstrauen. Viele Windows-User installieren einfach irgendwelche supertollen Tools von dubiosen Webseiten, öffnen E-Mail Anhänge die scheinbar von Bekannten versendet wurden, obwohl der Text der Mail eigenartigerweise in Englisch verfasst ist und eine absolut sichere 1000€/Monat – „einfach so”-Methode anpreist, wenn man nur den Anhang öffnet usw. usw. Da braucht man sich dann nicht wundern wenn für solche User ein Schädlingsscanner, der zumindest einen Großteil der gängigen Schädlinge identifiziert, essentiell ist.

  • Freitag 13th November 2009 um 9:54
    Permalink

    ..das ist in der Tat so, dass quasi "durch die Hintertür" für die Linuxer (und für alle anderen) der Pflicht des Virenschutzes einziehen könnte…. Im Unternehmensumfeld hat das jetzt schon öfter die Runde gemacht, dass die Linux-Kisten zwar selber nicht unbedingt Virenschutz benötigten (..toitoitoi, es sei denn, jemand findet doch noch den distributionsübergreifenden Mega-Virus) aber aufgrund des zunehmnden Kontakts mit allen anderen möglichen Rechnern (Email ist ja nur ein Teil davon) man "in die Pflicht" genommen wird, sein System auch laufend zu scannen…. Es könnte gut passieren, dass man zwar eine ganze Unternehmenssoftware "frei" installieren kann, weil im Linux/GNU/sonstwas-Umfeld alles frei verfügbar ist, aber wir uns einen proprietären und kostenpflichten Virenscanner draufbraten müssen, um der "Sorgfaltspflicht" Genüge zu tun….

  • Freitag 13th November 2009 um 10:31
    Permalink

    Das Mehrstufige User-System ist prinzipiell auch in Windows enthalten (zumindest auf den nt derivaten also allem seit nt4.0). Lediglich die Umsetzung unterscheidet sich.

    Angesichts der Tatsache, dass ja nicht nur ausführbare Dateien, sondern durchaus auch manipulierte dokumente oder bilder usw schadecode enthalten können, der mit der "richtigen" version einer software ausgenutzt werden kann, ist es mindestens auf dem mailserver wichtig, dass sowohl eingehende als auch ausgehende mails auf eben diesen schadcode geprüft werden.

    Ansonsten würde ich ebenfalls sagen, dass unter linux ein "on demand scan" im regelfall ausreichen sollte. Das liegt aber hauptsächlich daran, dass im regelfall viren, würmer und konsorten darauf abzielen ungepatchte und nicht gesicherte windows rechner zu infizieren. Die Masse machts einfach attraktiver.

    ot: Ist es eigentlich normal, dass wenn ich über den uu planet hierherkomme, auf einer "mobile-version" lande? Gerade mal mit dem ff und dem ie unter win getestet.

    • Freitag 13th November 2009 um 10:33
      Permalink

      Was hast du denn für eine Auflösung? Kann sein dass die, wenn sie zu gering ist, mit der mobilen Version bedient wird.

      • Samstag 14th November 2009 um 11:32
        Permalink

        Hmm, heute besteht das problem merkwürdigerweise nicht mehr.

        Desktop Auflösung ist 1440×900 aber Browserfenster dürfte irgendwo um die 1100×800 groß sein.

  • Freitag 13th November 2009 um 10:32
    Permalink

    Also nur weil die Rechteverwaltung unter Linux tendenziell besser ist als die von Windows, muß man nicht glauben, dass man gegen Viren gefeit wäre. Sie sind schlicht und einfach nicht so verbreitet. Das offene Softwarekonzept (und die Verfügbarkeit via zentraler Programmverwaltung) macht es schon sehr schwer, (freie!) Software mit einem Virus zu versehen, ohne dass es jemand merkt. Es sei denn, man fängt sich einen via ein eigenmächtig downgeloadetes .deb Paket ein. Oder via proprietäre Software.

    Ich nutze die Virusscanfunktionen von Linux vor allem um W32 Viren in meinem Netzwerk zu erkennen.

    Nur für Spaß: http://www.linux.com/archive/feature/42031

  • Freitag 13th November 2009 um 10:41
    Permalink

    Ein Virus hat den primären Zweck zu vernichten und dafür reichen auch schon Userrechte: /home/userName kann komplett von einem Virus gelöscht werden der Anwenderrechte hat, ohne das dieser irgendwas dagegen tuen kann.

    Desweiteren gab und gibt es zahlreiche möglichkeiten an root Rechte zu kommen. Hier mal ne nullpointerexception, da mal ein nicht korrekt abgefangener Fehler, dann wieder ein gezielter Speicherüberlauf. Wenn man weiß wie, sind die root Rechte auf einem Linuxsystem echt das geringste Problem.

    Das einzig große Problem ist, wie du auch angemerkt hast, dass executable bit und die Ausführung der Datei…dank drive-by downloads via Webbrowser ist aber auch das kein großes Hindernis mehr.

    Fazit: Ein Virus (und erst recht Würmer oder Trojaner) sind unter Linux keine Fantasie mehr, es gibt mittlerweile einige, diese sind zwar größtenteils auf Rootserver aus (wird meist für die Kontrolle von Botnetzen missbraucht) können aber auch Anwender PCs befallen.

    Das beste Rechtemanagement nützt einem nichts, wenn es so verbuggt ist das es quasi nicht existent ist…

  • Freitag 13th November 2009 um 11:08
    Permalink

    Ich finde es traurig, das nicht nur von Windowsnutzern erwartet wird, Viren zu bekämpfen, sondern auch alle Nutzer alternativer Betriebssysteme, für die es keine Viren gibt. Wozu benutzen wir denn alle Linux? Ein Grund ist doch, dass wir kein Geld für Software ausgeben müssen, die den Rechner langsamer macht und dazu noch Pop-ups einblendet bei jeder erdenklichen Tätigkeit. Dennoch denke ich, es ist nötig, so lange der Bug #1 nicht gefixt ist. Damit erhält dieser also eine noch höhere Priorität ;-).

  • Freitag 13th November 2009 um 11:33
    Permalink

    Viren sind für die meisten doch inzwischen uninteressant. Kaum jemand hat noch Interesse daran, einen Fremdrechner zu schädigen. Vielmehr wollen die Kriminellen entweder persönliche Informationen des Nutzers (Email Listen, Kontonummern usw) oder sie wollen einen Rechner still und heimlich für ihre eigenen Zwecke wie das Versenden von SPAM nutzen.

    Und das geht wunderbar mit normalen User Rechten, auch unter Linux. Und da es keine Mechanismen gibt, die z.B. Änderungen an der ~/.bashrc oder ~/.config/autostart überwachen und melden, kann sich hier ohne Probleme ein Schädling einnisten und lange Zeit unbemerkt im Hintergrund laufen. Wer schaut schon jeden Tag da genau hin?

  • Freitag 13th November 2009 um 12:03
    Permalink

    Dateien können lesbar sein, schreibbar, oder ausführbar und dies für den Root-Benutzer, den angemeldeten Benutzer und den Rest der Welt.

    Nicht ganz. Die Rechte teilen sich auf in

    1. Besitzer der Datei

    2. Gruppe des Besitzers

    3. Rest der Welt

    @detru: Die Zeiten in den Viren nur Vernichten im Sinn hatten ist im Prinzip vorbei. Sowas wird eher nur mehr von Skript-Kiddies geliefert. Die modernen Aufgaben sind: Infiltrieren, weiterverbreiten, Blödsinn anstellen (z.B.: den PC in ein Botnetz einhängen, DDoS-Angriffe starten, Spam-Schleuder spielen, usw…). Wenn du die Daten des Nutzers löscht kannst du davon ausgehen, dass selbst der größte DAU draufkommt, dass hier was nicht stimmt.

    Setsuna

  • Freitag 13th November 2009 um 12:06
    Permalink

    Viren in dem Sinne spielen doch nur noch eine untergeordnete Rolle. Heutzutage geht es darum, einen Rechner auszuspionieren oder zu mißbrauchen – nicht aber etwas kaputt zu machen: Genau das wäre kontraproduktiv.

    Wie auch immer: All das ist auf Linux-System prinzipiell genauso möglich. Wie detru schon geschrieben hat, muss nicht unbedingt etwas ausgeführt werden. Eine Datendatei – mit dem entsprechenden, fehlerbehafteten Programm geöffnet – kann bereits jedes System infizieren. Da hilft auch kein Rechtesystem. Das fehlende Ausführungsrecht ist auch kein Problem. Das hängt von dem enstprechenden Mailprogramm ab: Wenn dieses Beispielsweise Shellskripte ohne Nachfrage ausführt, dann ist es bereits zu spät. Es ist hier also keine Frage des Rechtesystems, sondern eine Frage der Qualität der Mailprogramme. Ich gehe allerdings davon aus, dass die meisten Mailprogramme unter Linux hier sehr restriktiv sein sollten.

    Merke: Das Rechtesystem unter Linux schützt nicht direkt vor Angriffen! Es schützt davor, dass ein Angriff weiterreichende Rechte erlangen kann. Doch die sind meistens gar nicht nötig: Normalerweise handelt es sich um ein Einzelplatzrechner. Wenn ich dort – passiv oder aktiv – dafür sorge, dass ein Schadcode ausgeführt wird, dann ist der Angreifer bereits am Ziel: Er kann alle "meine" Daten ausspähen. Er kann sogar (!) Daten anderer User ausspähen, da unter Ubuntu gesetzten Defaultrechte das Lesen unter /home erst mal erlauben.

    Das Linux derzeit als "sicher" gilt, ist hauptsächlich der Tatsache zu verdanken, dass Angreifer noch kein ausreichendes Potential sehen. Das ist eine Nutzen/Aufwand-Rechnung. Abgesehen davon behaupte ich auch, dass der durchschnittliche Linuxuser im Vergleich zu sämtlichen Computernutzern (noch) überdurchschnittliches Wissen im Bereich "Vermeidung von Sicherheitsrisiken" besitzt.

    Eine weitere Ursache liegt auch in der "Inhomogenität" der Linuxlandschaft. Das erhöht den Aufwand für Angreifer erheblich. Die "Monokultur Windows" macht es da schon leichter.

    Bewertet das Rechtesystem nicht über: "Linux" kocht auch nur mit Wasser…

  • Freitag 13th November 2009 um 12:19
    Permalink

    Es gibt genug Angriffe mittels Würmer auf Linuxmaschinen, wenn das dann auch meistens eher Webserver mit schwindligen PHP Code sind die kein Mensch updatet.

    ClamAV erkennt viel aber wird eine „infizierte“ Datei nur etwas verändert erkennt er diese auch nicht mehr, aber das ist eh normal bei Virenscannern.

    brain.exe hilft aber am Desktoprechner schon oft 🙂

  • Freitag 13th November 2009 um 12:43
    Permalink

    Ich bin froh, dass es Windows gibt. Gibt so viele daU's, die sich unter Windows tummlen… Die möchte ich nicht unter Linux haben. Vor allem nicht in den Supportforen, die sind dann nämlich unbenutzbar.

    Außerdem bin ich ganz glücklich, dass Linux nicht allzu weit verbreitet ist: Wenig Angriffsfläche für Virenschreiber und die Distributoren sind gezwungen, zusammen zu arbeiten. Ideale Voraussetzungen, um ein TOP-Betriebssystem zu programmieren und auch zu benutzen.

    Zum Thema zurück: Es reicht aus, on demand mit ClamAV zu scannen. Wer unbedingt will, kann sich auch Avira Antivir unter Linux installieren. Installation ist für Einsteiger geeignet, allerdings nicht die Deinstallation. Somit habt ihr einen Schutz on access, der euer System allerdings spürbar verlangsamt.

  • Freitag 13th November 2009 um 12:52
    Permalink

    Ich bin nun doch sehr verunsichert bezügl. Viren auf Linux. Ich werde einer Freundin demächst Ubuntu installieren und habe immer getönt „Viren unter Linux/Ubuntu sind kein Problem“. Die rechtliche Seite dieser Geschichte leuchtet ein.

    Könnt Ihr mir bitte ein für Anfänger geeignetes Virenprogramm empfehlen. Bin für jeden Tipp dankbar.

  • Freitag 13th November 2009 um 13:49
    Permalink

    Im Grunde ist es kein Problem. Die rechtliche Seite ist gesichert, sofern dein Mailprovider deine Emails scannt (was jeder große Provider tut). Linuxviren sind NICHT im Umlauf. Es gab mehrere proof-of-concept-Viren, die auf Sicherheitslücken aufsetzten. Diese Lücken sind längst gefixt, die Viren haben das Labor des jeweiligen Hackers nicht verlassen. In den meisten Fällen war das auch gar nicht die Absicht des Hackers: Häufig werden entdeckte Sicherheitslücken den jeweiligen Programmierern gemeldet und ein kleines Schadprogramm nur geschrieben, um die Wirkung zu demonstrieren.
    Alle in den Kommentaren vorgestellten Varianten zur Kaperung eines Linux-Systems sind Theorie: sie könnten funktionieren (müssen aber nicht). In der Praxis tauchen diese Varianten derzeit und auf absehbare Zeit nicht auf, da der wirtschaftliche Nutzen (auf dem Schwarzmarkt) zu dem zu leistenden Aufwand (eines Crackers) in keinem Verhältnis stehen.

    Ein Virenscanner auf einem typischen Linux-Desktopsystem ist daher immer noch nicht notwendig. Er dient er dem Sicherheitsgefühl des Anwenders als der realen Sicherheit.

    ———-
    Wenn trotzdem Bedarf besteht, empfehle ich dir ClamAV.
    Diese Antivirenprogramm arbeitet nur nach Aufforderung. Wenn du zum Beispiel den Ordner test auf dem Desktop gescannt haben willst, dann machst du das über Konsole:
    cd ~/Desktop/test
    clamscan -r

    oder über die GUI ClamTK (wobei ich die Konsole empfehle).
    Beides gibt es in den Quellen: clamav (und clamtk, wenn gewünscht)

    Wird ein Virus gefunden, gibt es nur einen Hinweis, mehr nicht. Du kannst die entsprechende Datei dann manuell löschen.
    Updates (der Signaturen) gibt es automatisch.
    Dir bleibt diese rudimentäre, aber wirksame on demand Methode. Mehr ist nun wirklich nicht nötig. Immerhin kann deinem PC (in der Praxis) nichts passieren.

    Zum Testen des Scanners kannst du eicar benutzen (http://de.wikipedia.org/wiki/EICAR-Testdatei). Diese Ziffernfolge einfach in einer txt speichern und den Scanner drüber laufen lassen. Er wird sich dann beschweren 😉
    ———-

    Also gönne deiner Freundin die Installation und vergiss das mit den Viren wieder!

  • Pingback: burned's status on Friday, 13-Nov-09 13:59:45 UTC - Identi.ca

  • Freitag 13th November 2009 um 15:55
    Permalink

    Ich finde das Szenario für Desktoprechner sehr konstruiert: Ich lade eine Datei herunter und schicke sie dann weiter? Wieso sollte ich das tun? Oder ich bekomme einen Anhang und schicke ihn weiter, ohne ihn zu öffnen? Wieso? Und wieso sollte der Scanner auf dem Mailserver den nicht finden, mein lokaler aber dann doch?

    Wer bisher meganfoxnackig.jpg.exe rumgeschickt hat, wird sich auch von einer Virenwarnung nicht stoppen lassen oder hat auch unter Windows diese nervigen Popups fleißig weggeklickt. Und wer unter Linux meganfoxnackig.deb installiert, dem ist ebenfalls nicht zu helfen. Dem Rest hilft wahrscheinlich einfach schon, vor dem Versenden von Attachments nachzudenken.

    Andererseits finde ich es sehr nett, wenn man sich auch noch um die Probleme anderer Leute kümmert. 😉

  • Freitag 13th November 2009 um 16:16
    Permalink

    So konstruiert ist das gar nicht. Es gibt genug Code der in unter Linux ganz normal scheinenden Dateien enthalten ist, aber unter Windwos Schaden anrichtend. Nehmen wir mal Dateien des Office Paketes, unter Linux sieht die Datei für dich normal aus, unter Windows schleust du dir damit was ein. Von daher hast du in Windeseile einen Windows PC verseucht, indem du die Datei weiter gibst. Ausserdem solltet ihr bedenken dass ihr Viren nicht nur per Mail weitergeben könnt. Schickt ihr per IM was weiter hilft euch der Virenscan beim Provider auch nicht und bei den meisten ist der Virenscan auch erst in den kostenpflichtigen Paketen enthalten. Was ist mit CD/DVD und USB Sticks?

    Passiert dir das aus einer Firma heraus wird es verdammt schnell, sehr teuer, daher lieber mal lokal scannen!

  • Freitag 13th November 2009 um 21:49
    Permalink

    Dies "Meist wird der schadhafte Code über E-Mails, Chats, Downloads und weitere, selbst angestossene, Anwendungsarten auf den PC gelangen" ist leider nicht mehr richtig. Der größte Anteil an Schadcode wird mittlerweile über Aktive Inhalte und Browser auf den Rechner eingeschleust. Wobei dies dann eher Trojaner sind.

    Aus meiner Sicht ist weniger das Rechtesystem von Unix (welches in der beschriebenen Art eher veraltet ist) ursächlich dafür, dass es wenig Schadsoftware für Linux gibt, sondern viel mehr die stark unterschiedlichen Installationen und Distributionen. Der Linux-Desktop ist aus diesem Grund für den "Massenangriff" uninteressant. Sicherlich kommt dabei auch das Verhalten der Linux-Benutzer dem ganzen zu gute.

    Bei Servern gibt es natürlich genauso zu gezielten Angriffen.

    Für eine Verhinderung von Verseuchung durch Schadcode ist n.m.E. weniger ein Virenscanner, der einem nur "falsche Sicherheit" vorgaukelt, wichtig sondern vielmehr ein ordentliches Konzept. AppAmor sowie Brain 1.0 helfen viel mehr weiter.

  • Samstag 14th November 2009 um 11:38
    Permalink

    Ich bin auch der Meinung, dass man einen Virenscanner unter Linux normalerweise nicht braucht. Nicht unbedingt aufgrund des Marktanteils (bei Server ist dieser ja nicht gerade niedrig), sondern aufgrund der Paketverwaltung. Bei Ubuntu z.B stehen zigtausende Pakete von einer vertrauenswürdigen Quelle bereit, die zudem noch signiert sind, sodass ein Man-in-the-Middle Angriff erschwert wird. Dass die Ubuntu-Maintainer den Kram auf Viren prüfen müssen, ist klar. Als User kann man dann aber den Maintainern vertrauen, dass ihre Paketquellen frei von Mal- oder Spyware sind (wenn man denen nicht vertraut, dann könnte man ja auch nicht die Distribution benutzen). Hinzukommt, dass alles automatisch aktualisiert wird. Auf infizierten Windows-Kisten im Freundeskreis stoße ich fast eigentlich immer auf veraltete und ungepatchte Software. Flash ist da ein üblicher Verdächtiger sowie der Acrobat Reader oder der Browser. Alles Programme, die regelmäßig mit Inhalten aus dem Internet in Kontakt kommen und daher oberste Priorität in Sachen Updates bekommen sollten. Mit einer Paketverwaltung alles kein Problem.

    Dennoch sind Viren unter Linux keine Illusion. Man denke an die ganzen Fremdquellen. Davor wird immer zu Recht in den Communities gewarnt. Ein kleines Beispiel, wie man Missbrauch treiben könnte: http://ikhaya.ubuntuusers.de/2006/11/20/eine-klei

Schreibe einen Kommentar