Re: Virenscanner
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Am 10.11.2013 12:01, schrieb Christoph Schmees:
> Am 10.11.2013 09:12, schrieb Bjoern Meier:
>> hi,
>>
>> Am 9. November 2013 23:10 schrieb Christoph Schmees
>> <cjws@gmx.net>:
>>>> Ich kriech Plack, wenn ich so etwas lese. Für ITW-Viren
>>>> reicht ClamAV vollkommen hin.
>>> du redest von ITW *Windows* Viren, richtig? Und weshalb sollte
>>> man ein Linux vor Windows Viren schützen?
>>
>> Wieso sollte ich Windows-Viren meinen? Nur weil du keine
>> Schadsoftware für Linux kennst, heißt es nicht, dass es keine
>> gibt. Übrigens schützt ein Antiviren-Programm nicht nur vor
>> autonome Schadsoftware (Viren) sondern auch vor normalen
>> Payloads. Wie ich schon schrieb: ich selbst nutzte bereits
>> Kernelschwächen. Sie existieren.
>>
>>>> Zugegeben die heuristische Erkennungsrate ist nicht so
>>>> prall.
>>>
>>>
>>> ebend. Die Windows Schädlinge, die ich ab und an per SPAM
>>> bekomme, werden anfangs manchmal nur von fünf oder nur drei der
>>> über vierzig Scanner bei virustotal erkannt. Signatur-basierter
>>> Schutz ist weitgehend obsolet.
>>
>> Dann hast du einiges in Puncto Sicherheit nicht verstanden.
>> Signatur-Schutz ist unabdingbar. Gut, wenn du gezielt
>> angegriffen wirst, kommt man um manuelle Abwehr nicht rum. Ich
>> habe jedenfalls nicht die Muse mich jeden Scriptkiddy zu widmen,
>> das Metasploit für sich entdeckt. Das können Signatur-Tracker
>> hinnehmen. Übrigens: die IDS Snort ist auch ein Signatur-Tracker,
>> eben auf Ethernet-Ebene. Ich werde auf deren Liste mal klar
>> stellen, dass ihre Software (somit auch ihre Arbeit) obsolet ist.
>> Ich bin mir sicher, die Jungs von Sourcefire wissen derartige
>> Kritik zu schätzen.
>>
>>>> Allerdings vertraue ich ClamAV schon, wenn ein Scriptkiddie
>>>> versucht mit einen inline Meterpreter unterzujubeln.
>>>>
>>>
>>> da gibt es andere Hürden, beispielsweise NoScript in FF oder
>>> Opera, und noch davor NAT oder besser SPI.
>>
>> Network Address Translation ist also für dich ein
>> Sicherheitskonzept? Das ist schon arg ... ok, ich greife es mal
>> auf. Du hast deine Kiste vor einem Router, richtig? Nun, möchtest
>> aber von unterwegs auf Daten bei dir zugreifen. Dann brauchst du
>> DNAT. Wenn das Programm eine Lücke hat, ist mir ziemlich schnurz,
>> wie oft die IP umgeschrieben wird. Solange ich mit dem Programm
>> interagieren kann, bin ich drauf und erst DANN könnte mich das
>> Subnet interessieren.
>>
>> Hier kann definitiv Signatur-Tracking helfen. Snort würde es mir
>> fast unmöglich machen (falls gut gesättigt) mit Standard-Methoden
>> auf den Rechner zu kommen. Ein Squid3 mit ICAP über ClamAV
>> schafft auch einiges. Um mal dein Web-Vorschlag aufzugreifen.
>>
>> NoScript? Das ist auch dein Ernst? Es gibt also nur Schädlinge
>> per HTTP und per Javascript? Wie mir das bei einer PHP reverse
>> Shell helfen soll, erklärst du mir sicher noch. Entschuldige
>> Christoph, aber ich denke nicht, dass ich deine
>> Sicherheitshinweise empfehlenswert finde.
>>
>
> vielleicht denken wir an unterschiedliche Szenarien. Ich schrieb
> schon, dass ich von einem stinknormalen oder /plain vanilla/
> Desktop ausgehe. Der braucht beim heutigen Stand keinen Virenschutz
> außer *Brain 1.0* - siehe auch
> <http://www.heise.de/security/meldung/Linux-Banking-Trojaner-in-freier-Wildbahn-gesichtet-1932533.html>.
>
>
Zitat: '"Hand of Thief" nutzt keine spezielle Linux-Sicherheitslücke
> aus; der Benutzer muss ihn selbst installieren, indem er
> beispielsweise ein Mail-Attachment ohne nähere Prüfung ausführt
> oder Programmpakete aus anderen Quellen als den Repositories seiner
> Distribution installiert.'.
>
> Natürlich gibt es Schwachstellen, und es gibt (Beispiel-)Exploits.
> Aber die lassen sich im Gros nur lokal ausnutzen oder es sind
> Studien von rein akademischem Interesse. Ich zitiere noch mal:
> 'Schad-Software in der Linux-Welt beschränkte sich bislang auf zwei
> Klassen: Demos für Exploits, die nie "in the wild" gesichtet
> wurden, und gezielte Angriffe auf Lücken in Server-Software.'
>
> Damit kommen wir zu einem anderen Szenario, über das ich *nicht*
> geschrieben hatte: Webserver oder ein /exposed host/ am eigenen
> Router. Da reden wir von einer ganz anderen Klasse von
> Verletzlichkeit und Angriffen, siehe beispielsweise
> <http://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html>
>
>
oder
> <http://www.heise.de/security/meldung/Webserver-Rootkit-befaellt-auch-lighttpd-und-nginx-1859414.html>.
>
>
Allerdings wäre Clam hier, wie wenn man mit einem Holzschwert gegen
> Panzer kämpfen möchte. Ich stimme dir völlig zu, dass man zum
> Schutz von Rechnern, die öffentlich erreichbare Dienste anbieten,
> andere Geschütze auffahren muss als Clam und Brain 1.0. Für den
> Desktop hinter einem Router bleibe ich bei meinen Empfehlungen, bis
> mir jemand einen belastbaren Fall bringt, in dem das nicht gereicht
> hätte. EOD.
>
> Christoph
>
>
Kleiner Hinweis:
ICH bin hier die Zielgruppe!
1.Ich öffne doch keine ausführbaren Dateien von e-mails!
2.Ich bin kein Webserver, sondern ein normaler Desktop PC.
- --
Volker Weißmann
volker.weissmann@gmx.de
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iQEcBAEBAgAGBQJSf4tSAAoJEKyEg6S0jVz8bqoIAKhD5OmVgbj+d3Nj8PQj58Le
CwhJ2e2vW6KLHtiiXh+SElu3ojew8orkHjvZByRez1T2tP6oJcYQfPtAkh4w0a2S
eJvDsxF7GpG0PxTUlUJYeACMOCARxvUbmAu+cqgfK2avoFYgDuyvlMNTfa4js600
QVV3A54ot3lyc1WhNl3F4FWDrYKWuGAS434059UMNxHe3nzxQNPrllM7viXk6Y62
YOcWdcBDIuIsL2CzSqGkIUFfkA9FJ+R1nZQ3XXOmVNzKhZm3uFpMnfgQDfebGucN
pbyZlVybyfz+XecBtbbaSjY/8GheOYOLdc0QCYuQn/u+feutOkcyYxZjlIAkNOc=
=LAwL
-----END PGP SIGNATURE-----
Reply to: