Interessant, … bei uns ist das auch der Fall und da läuft er grottig schlecht, macht viele Probleme. Aber noch viel schlechter läuft er auf der Ubuntu-Plattform.

Du bist nicht zufällig bei einem blauen IT-Verwaltungshaus?

———————————————————-
Und der uebliche Windowsanwender sollte hier genauso reflektiert darueber nachdenken, ob nicht ein ganz einfacher Scanner und die Restriktion der Nutzerrechte mehr Sinn machen. Obwohl ich in der Prais davon abrate, kann man mit einem Windows durchaus ohne Virenscanner arbeiten, habe das vor 10 Jahren im Selbstversuch gemacht und ein Jahr ueberlebt (keine Warez und P2P, fuers Internet Firebird bzw. dann Firefox statt IE, und ansonsten einfach nur gekaufte Spiele). Das Geheimnis ist tatsaechlich, dass man nicht jeden Mist aus dem Internet installiert. Virenscann nach einem Jahr: 0 Treffer
————————————————————-

Wichtige Punkte:

1. UNIX trennt seit jeher normale Anwender von Anwendern mit Superrechten.

Anwendungen halten sich an dieses Prinzip und Nutzer arbeiten, weil es ihnen so beigebracht worden ist, nicht als root User.

2. UNIX und speziell GNU/Linux arbeiten mit einer Paketverwaltung die hinsichtlich der Sicherheit eine endliche Whiteliste (also vom Umfang beherrschbar) darstellt.

Wohingegen Virenscanner mit eine theoretisch unendlichen Blacklist arbeiten muessen die niemals vollstaendig ist, schon ein aendern von Compilerflags reicht aus um die Signatur einer Anwendung grundsaetzlich zu aendern. Wird eine Heuristik angewendet, wird es noch schlimmer, hier wird nur noch auf Verdacht mit Warnungen um sich geworfen. Das ist ein Designfehler der sogenannten Sicherheitssoftware, zum Vergleich:
Niemand bei gesundem Verstand fuehrt eine Liste von Menschen dennen er nicht vertraut (7 Milliarden und steigend), sondern im Gegenteil, eine Liste von Menschen dennen er bis zu einem gewissen Grad vertraut (vielleicht ein paar hundert Menschen).

3. GNU/Linux Distributionen sind in der Regel darauf ausgelegt selbst bei einer Standardinstallation moeglichst wenig Angriffsflaeche nach aussen zu bieten, insbesondere offene Ports.

Besonders verstoerend ist hier, dass etwa Personal-Firewalls wirklich jedes Datenpaket anschauen und durchforschen und dann noch technisch fehlerhafte Anworten an Dritte schicken (die dann noch mehr Datenpakete verschicken, weil ihnen keiner richtig antwortet). Waehrend der regulaere Netzwerkstack einfach sagt „kenne dich nicht, lassen sie mich bitte in Ruhe“. Durch dieses intensive Scannen durch Personal-Firewalls blaesst man im Prinzip den Netzwerkstack um das Doppelte auf, vergroesste die Angriffsflaeche und dann passiert sowas:
http://ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls

Tipp, etwa in der Mitte schiesst die Firewall den Rechner selbst aus dem Internet. Ganz grosse Kino und ein Lehrstueck der IT, kleiner und einfach ist besser.

Hinweis:
NETFILTER und Personal-Firewalls sind unterschiedliche Dinge, wenn auch die Funktionsweise aehnlich ist.

5. Persoenliche Verantwortung und Kontrolle. Wir koennen meist nicht oder nur ganz oberflaechlich Quellcode von Anwendungen pruefen. Deswegen ist es wichtig sich selbst zu fragen ob man diese Anwendung braucht, ob man der Quelle vertraut und ob einem diese Anwendung von einer vertrauenswuerdigen Quelle Empfohlen wurde (so mache ich das, so macht man das im normalen Leben und sogar Linus Torvalds macht das so).

Lesen -> Denken -> Handeln

Genau diese selbstverstaendliche Vorgehensweise unterlassen Menschen am Computer, weil es komplizierte Technik ist anstatt menschliches Miteinander. Das ist kein Vorwurf. Ich habe mich vor ein paar Jahren genau so unter Windows in die Brenneseln gesetzt, weil ich selbst ueberheblich war und weder gelesen noch gedacht habe. Klassiker…ich brauch was…ersterbester Link auf Google…klick (sah unerioes aus)…install (keine zeit zum denken)…klick (handeln? tue ich, aber falsch).

6. Es besteht ein kommerzielles Interesse die Gefahr nicht zu beseitigen und sogar groesser aussehen zu lassen, als sie ist.

Weiterfuehrendes:
Virenscanner dienen unter GNU/Linux der Sicherung des Mailverkehrs (Scanner fuer Mailserver) oder von Fileservern. Mit NETFILTER und aehnlich kann man eine „gewachsene“ Netzwerkstruktur abdichten. Wenn ihr ein GNU/Linux frisch installiert habt, sollte ein „ss -tlpn“ (alle offenen TCP-Ports) keinen offenen TCP-Port liefern der auf externe Quelle hoert. Wer einen Einbrauch vermutet, sollte mit „chrootkit“ oder aehnlich auf die Suche gehen.

Wer jetzt einfach mal trotzdem sein System scannen will:
Wartet mal die naechste c’t mit Virenschutz-CD ab. Es muss nichts installiert werden, die Scanner bootet von einem externen Medium und ausser ein paar Euro fuer die Zeitschrift fallen keine Kosten an.

Ironie:
Es gibt bessere Verwendungszwecke fuer 10 bis 15 Prozent eurer CPU-Zeit als ein Virenscanner. Zum Beispiel regelmaessig und selbst kontrolliert Updates einspielen 🙂

Wer jetzt gerade darueber nachdenkt sich diesen Virenscanner zu installieren, also im Schritt 2 befindet:
Habt ihr eigentlich den Quellcode dafuer im Zugriff*? Warum ist das nicht in der Paketverwaltung, vertraut meine Distribution etwa nicht Sophos? Brauche ich das eigentlich ueberhaupt? Und was hat Sophos davon? Warum steht da was von Cloud?

* Egal ob ihr diese verwenden Programmiersprachen beherrscht und genuegend Zeit habt. Womoeglich hat jemand anderes das Koennen und die Zeit.

Weiterfuehrende Links:
http://wiki.ubuntuusers.de/Sicherheitskonzepte
http://wiki.ubuntuusers.de/Personal_Firewalls
http://ulm.ccc.de/PersonalFirewalls

„may not“ heißt „darf nicht“. Das wird vermutlich gesetzlich vorgeschrieben sein, so wie z.B. amerikanische Flugseiten (zumindest im Moment) keine Flüge nach Kuba verkaufen dürfen.

Damit werden die Länder diskriminiert, mit denen die USA die stärksten Konflikte hat. Wie ernst das ist – keine Ahnung. Da steht ja may not und nicht must not.

Warum das denn nicht?

Dann nutze clamAV. Sollte in jeder Distri als Paket vorhanden sein.

Der Symantec läuft z.B. auf unseren Firmen-Red-Hat-Clients (die Aussage der Firma lautet: „Wir trauen Windows nicht!“ – und dann kommt Symantec auf die Kisten……)

In der Tat würde ich diese Software auch eher auf meinem Server als auf meinem Endgerät einsetzen wollen. Solange man Windows-Nutzer im Netz hat, ist man ja potenziell gefährdet 😉

Ich würde es gerne testen, schrecke aber vor solchen Install-Scripts zurück und hätte lieber ein sauberes DEB für meinen Ubuntu Server.

Das Thema behalte ich mal im Auge, jedenfalls ein insgesamt trotzdem gutes Signal von Sophos.