Hi Bjoern! On Sun, 2013-11-10 at 12:43 +0100, Bjoern Meier wrote: > ClamAV Virus Databases: > main.cvd ver. 55 released on 17 Sep 2013 10:57 :0400 (sig count: 2424225) > daily.cvd ver. 18091 released on 10 Nov 2013 00:39 :0500 (sig count: 480856) > bytecode.cvd ver. 230 released on 08 Nov 2013 09:20 :0500 (sig count: 43) > safebrowsing.cvd ver. 41183 released on 10 Nov 2013 03:00 :0500 (sig > count: 1398747) Aber das sind nach meinem Verständnis ja in erster Linie Signaturen von Windows Schädlingen. Also für ein Linux System absolut uninteressant (solange keine Windows Rechner geschützt werden sollen). > > Und bei ClamAV scheint es auch Statistiken zu geben? Oder habe ich da > > jetzt beim Überfliegen der Homepage etwas missverstanden? Habe da jetzt > > keine Statistik gefunden aber evtl. kannst Du ja auch da einen Link > > posten, der klar aufzeigt, dass mit ClamAV aktiv Linux Viren gefunden > > wurden. > Bitte? Solche Statistiken kenne ich von keinem Hersteller. Das wäre > auch marketingtechnisch ein ziemliches Kuckucksei. Hmm - das verstehe ich jetzt nicht. Wieso ist es ein Kuckucksei, wenn ein Hersteller nachweisen kann, dass sein Tool auch tatsächlich Viren gefunden hat? Oder Informationen über Verbreitung a.la. "Im September wurde massiv der Virus xyz erkannt". Und es gibt einen "Malware statistics" Link auf der FAQ Seite, der auf https://github.com/vrtadmin/clamav-faq/blob/master/faq/faq-cctts.md verweist. Da ist dann auch gleich von einem "ClamAV Community Threat Tracking System" die Rede. Daher hatte ich die Hoffnung, dass es da evtl. Zahlen gibt. (AV Hersteller versuchen doch immer Panik zu machen um Ihre Produkte zu verkaufen. Den Eindruck habe ich zumindest teilweise, wenn ich gewisse Dinge lese!) > > Ansonsten ist es sehr wohl ein guter Schutz, dass die Systeme nicht > > direkt aus dem Internet erreichbar sind. So gesehen hat NAT oder eine > > Firewall sehr wohl einen Schutzmechanismus. > Nein, ist es nicht. NAT war und ist eine Notlösung um IP-Adressen zu > sparen. Es schützt dich vor gar nichts. Warum denkst du wohl, hat ein > Gremium von klugen Köpfen IPv6 so konzipiert, dass NAT nicht mehr > notwendig ist. Wie gesagt: NAT schützt dich vor gar nichts. Mein > gesamtes Netz ist komplett auf IPv6 exposed im Internet und nu? > Gewisse Ports sind konditionell blockiert. Kennst du nicht die IPSec > Parameter: Pech gehabt. Die restlichen Ports werden mittlerweile über > eine Bridge durch ein IDS/Policy System geleitet. > Alles ohne NAT. Natürlich ist es ein guter Schutz, wenn Systeme eben nicht aus dem Netz erreichbar sind. Natürlich ist das nicht der eigentliche Zweck von NAT aber eben doch ein Beiwerk. Deine ganzen Beispiele mit php Injection und SQL injection sind absolut für die Katz, da Du ja meine Systeme nicht ansprechen kannst. ==> Das NAT des Routers ist damit durchaus ein Schutz. Dabei spielt es keine Rolle, was der eigentliche Zweck dahinter war. Der Fakt, dass eben die Systeme des lokalen Netzes nicht erreichbar sind aus dem Internet geben einen gewissen Schutz. > > Und noscript ist auch ein Schutz gegen viele Dinge. Beschäftige Dich > > einfach einmal mit den Exploits der Vergangenheit, die auf Browser > > abgezielt haben. Im Augenblick erinnere ich mich an keinen Exploit, der > > ohne JavaScript funktioniert hätte... > iFrames, PHP injection, SQL Injection, etc. Allein webbased exploits > gibt es tausende abseits von js. Jedoch finde ich Web exploits > langweilig. Zuletzt habe ich das genutzt bei phpBB 3.0.0 und das ist > Jahre her. Also PHP injection und SQL Injection sind wo wichtig? Ohne Zugriff auf die Systeme kannst Du nichts injecten. (Zumal ich ja nicht einmal php oder apache oder einen SQL Server installiert habe! Wozu auch auf einem Desktop?) Was für Webbased exploits gibt es, bei denen ClamAV eine Hilfe wäre? Eine Webseite kann nicht wirklich was anrichten wenn keine aktiven Inhalte möglich sind (Also kein javascript aber natürlich auch kein Flash und so!) Cookies sehe ich ja als Gefahr für die Privatsphäre und daher erlaube ich diese auch nur, wo ich sie wirklich brauche. Also was übersehe ich jetzt Deiner Meinung nach? > erstelle dir mal eine php-datei mit folgendem Inhalt: > <?php echo system($_GET['cmd']); ?> > eine Zeile und damit ist dein ganzes System verwundbar. Nö. Die Zeile lege ich gerne an. Wo hättest Du diese gerne hinterlegt auf meinem System? (Auf meinem Desktop gibt es kein Webserver und auch kein php...) > Ein kleiner > fehler - z. B. in einem komplexen Programm wie Typo3 und ich kann > entweder per remote/local file inclusion oder sql injection so eine > php-datei anlegen und sämtliche Programme mit rechten des > Webserver-Users ausführen. Oft reicht das völlig aus. Ja aber das ist doch nicht das Thema. Ich habe kein für andere zugängliches System in meinem Netzwerk. Es geht hier in erster Line um den Schutz eines Linux Desktop Systems durch einen Virenscanner! (Ok, durch die Diskussion in wie weit NAT einen Schutz bietet oder nicht, sind wir da teilweise stark von weg.) Unabhängig von der Diskussion um NAT bleibe ich daher wirklich bei der großen Frage: Wo würde ich mit meinem Linux Desktop durch ClamAV einen wirklichen zusätzlichen Schutz bekommen? > Beweis genug? Spätestens wenn ich Housekeeping (Dateien verändern, > System zombifizieren, etc.) betreiben möchte, hätte ich mit einem > Echtzeit-Scanner mehr Probleme. Doch das Problem habe ich unter Linux > nicht, denn es nutzt sie ja keiner ;) ClamAV ist da aber dann doch auch suboptimal. Deine individuellen Veränderungen wird es auch nur mit sehr kleiner Wahrscheinlichkeit anmeckern. Also sind dann bei sowas ganz andere Schutzmittel gefragt (z.B. Überwachung des Netzwerk-Traffics, Honeypots, regelmäßige Kontrolle von Dateien auf Veränderungen, u.s.w.) Mit den besten Grüßen, Konrad -- Konrad Neitzel <konrad@neitzel.de>
Attachment:
signature.asc
Description: This is a digitally signed message part