Re: Virenscanner

To: debian-user-german@lists.debian.org
Cc: Debian german userlist <debian-user-german@lists.debian.org>
Subject: Re: Virenscanner
From: Bjoern Meier <bjoern.meier@gmail.com>
Date: Sun, 10 Nov 2013 09:12:24 +0100
Message-id: <[🔎] CAGMPS5405nsSWKzrprdTrAohenqwXKwqqU5Xo3L9riT+4jY8Xg@mail.gmail.com>
In-reply-to: <[🔎] 527EB2F3.9000705@gmx.net>
References: <[🔎] 527EA087.2000007@gmx.de> <[🔎] 527EA685.3000105@gmx.net> <[🔎] CAGMPS54L32Fz66Bi-XGSwvX62Azu8At7ULfzfeLhc3azZ2on1Q@mail.gmail.com> <[🔎] 527EB2F3.9000705@gmx.net>

hi,

Am 9. November 2013 23:10 schrieb Christoph Schmees <cjws@gmx.net>:
>> Ich kriech Plack, wenn ich so etwas lese. Für ITW-Viren reicht ClamAV
>> vollkommen hin.
> du redest von ITW *Windows* Viren, richtig? Und weshalb sollte man ein Linux
> vor Windows Viren schützen?

Wieso sollte ich Windows-Viren meinen? Nur weil du keine Schadsoftware
für Linux kennst, heißt es nicht, dass es keine gibt. Übrigens schützt
ein Antiviren-Programm nicht nur vor autonome Schadsoftware (Viren)
sondern auch vor normalen Payloads. Wie ich schon schrieb: ich selbst
nutzte bereits Kernelschwächen. Sie existieren.

>> Zugegeben die heuristische Erkennungsrate ist nicht so
>> prall.
>
>
> ebend. Die Windows Schädlinge, die ich ab und an per SPAM bekomme, werden
> anfangs manchmal nur von fünf oder nur drei der über vierzig Scanner bei
> virustotal erkannt. Signatur-basierter Schutz ist weitgehend obsolet.

Dann hast du einiges in Puncto Sicherheit nicht verstanden.
Signatur-Schutz ist unabdingbar. Gut, wenn du gezielt angegriffen
wirst, kommt man um manuelle Abwehr nicht rum. Ich habe jedenfalls
nicht die Muse mich jeden Scriptkiddy zu widmen, das Metasploit für
sich entdeckt. Das können Signatur-Tracker hinnehmen.
Übrigens: die IDS Snort ist auch ein Signatur-Tracker, eben auf
Ethernet-Ebene. Ich werde auf deren Liste mal klar stellen, dass ihre
Software (somit auch ihre Arbeit) obsolet ist. Ich bin mir sicher, die
Jungs von Sourcefire wissen derartige Kritik zu schätzen.

>> Allerdings vertraue ich ClamAV schon, wenn ein Scriptkiddie
>> versucht mit einen inline Meterpreter unterzujubeln.
>>
>
> da gibt es andere Hürden, beispielsweise NoScript in FF oder Opera, und noch
> davor NAT oder besser SPI.

Network Address Translation ist also für dich ein Sicherheitskonzept?
Das ist schon arg ... ok, ich greife es mal auf. Du hast deine Kiste
vor einem Router, richtig? Nun, möchtest aber von unterwegs auf Daten
bei dir zugreifen. Dann brauchst du DNAT. Wenn das Programm eine Lücke
hat, ist mir ziemlich schnurz, wie oft die IP umgeschrieben wird.
Solange ich mit dem Programm interagieren kann, bin ich drauf und erst
DANN könnte mich das Subnet interessieren.

Hier kann definitiv Signatur-Tracking helfen. Snort würde es mir fast
unmöglich machen (falls gut gesättigt) mit Standard-Methoden auf den
Rechner zu kommen.
Ein Squid3 mit ICAP über ClamAV schafft auch einiges. Um mal dein
Web-Vorschlag aufzugreifen.

NoScript? Das ist auch dein Ernst? Es gibt also nur Schädlinge per
HTTP und per Javascript? Wie mir das bei einer PHP reverse Shell
helfen soll, erklärst du mir sicher noch.
Entschuldige Christoph, aber ich denke nicht, dass ich deine
Sicherheitshinweise empfehlenswert finde.

> Christoph

Gruß,
Björn

Reply to:

Follow-Ups:
- Re: Virenscanner
  - From: Christoph Schmees <cjws@gmx.net>
- Re: Virenscanner
  - From: Konrad Neitzel <konrad@neitzel.de>

References:
- Virenscanner
  - From: Volker Weißmann <volker.weissmann@gmx.de>
- Re: Virenscanner
  - From: Christoph Schmees <cjws@gmx.net>
- Re: Virenscanner
  - From: Bjoern Meier <bjoern.meier@gmail.com>
- Re: Virenscanner
  - From: Christoph Schmees <cjws@gmx.net>

Prev by Date: Re: Server Umzug von OpenVZ auf Native
Next by Date: Re: Virenscanner
Previous by thread: Re: Virenscanner
Next by thread: Re: Virenscanner
Index(es):
- Date
- Thread