Re: Virenscanner

To: debian-user-german@lists.debian.org
Subject: Re: Virenscanner
From: Christoph Schmees <cjws@gmx.net>
Date: Sun, 10 Nov 2013 12:01:40 +0100
Message-id: <[🔎] 527F6794.4000101@gmx.net>
In-reply-to: <[🔎] CAGMPS5405nsSWKzrprdTrAohenqwXKwqqU5Xo3L9riT+4jY8Xg@mail.gmail.com>
References: <[🔎] 527EA087.2000007@gmx.de> <[🔎] 527EA685.3000105@gmx.net> <[🔎] CAGMPS54L32Fz66Bi-XGSwvX62Azu8At7ULfzfeLhc3azZ2on1Q@mail.gmail.com> <[🔎] 527EB2F3.9000705@gmx.net> <[🔎] CAGMPS5405nsSWKzrprdTrAohenqwXKwqqU5Xo3L9riT+4jY8Xg@mail.gmail.com>

Am 10.11.2013 09:12, schrieb Bjoern Meier:

hi,

Am 9. November 2013 23:10 schrieb Christoph Schmees <cjws@gmx.net>:

Ich kriech Plack, wenn ich so etwas lese. Für ITW-Viren reicht ClamAV
vollkommen hin.

du redest von ITW *Windows* Viren, richtig? Und weshalb sollte man ein Linux
vor Windows Viren schützen?


Wieso sollte ich Windows-Viren meinen? Nur weil du keine Schadsoftware
für Linux kennst, heißt es nicht, dass es keine gibt. Übrigens schützt
ein Antiviren-Programm nicht nur vor autonome Schadsoftware (Viren)
sondern auch vor normalen Payloads. Wie ich schon schrieb: ich selbst
nutzte bereits Kernelschwächen. Sie existieren.

Zugegeben die heuristische Erkennungsrate ist nicht so
prall.



ebend. Die Windows Schädlinge, die ich ab und an per SPAM bekomme, werden
anfangs manchmal nur von fünf oder nur drei der über vierzig Scanner bei
virustotal erkannt. Signatur-basierter Schutz ist weitgehend obsolet.


Dann hast du einiges in Puncto Sicherheit nicht verstanden.
Signatur-Schutz ist unabdingbar. Gut, wenn du gezielt angegriffen
wirst, kommt man um manuelle Abwehr nicht rum. Ich habe jedenfalls
nicht die Muse mich jeden Scriptkiddy zu widmen, das Metasploit für
sich entdeckt. Das können Signatur-Tracker hinnehmen.
Übrigens: die IDS Snort ist auch ein Signatur-Tracker, eben auf
Ethernet-Ebene. Ich werde auf deren Liste mal klar stellen, dass ihre
Software (somit auch ihre Arbeit) obsolet ist. Ich bin mir sicher, die
Jungs von Sourcefire wissen derartige Kritik zu schätzen.

Allerdings vertraue ich ClamAV schon, wenn ein Scriptkiddie
versucht mit einen inline Meterpreter unterzujubeln.


da gibt es andere Hürden, beispielsweise NoScript in FF oder Opera, und noch
davor NAT oder besser SPI.


Network Address Translation ist also für dich ein Sicherheitskonzept?
Das ist schon arg ... ok, ich greife es mal auf. Du hast deine Kiste
vor einem Router, richtig? Nun, möchtest aber von unterwegs auf Daten
bei dir zugreifen. Dann brauchst du DNAT. Wenn das Programm eine Lücke
hat, ist mir ziemlich schnurz, wie oft die IP umgeschrieben wird.
Solange ich mit dem Programm interagieren kann, bin ich drauf und erst
DANN könnte mich das Subnet interessieren.

Hier kann definitiv Signatur-Tracking helfen. Snort würde es mir fast
unmöglich machen (falls gut gesättigt) mit Standard-Methoden auf den
Rechner zu kommen.
Ein Squid3 mit ICAP über ClamAV schafft auch einiges. Um mal dein
Web-Vorschlag aufzugreifen.

NoScript? Das ist auch dein Ernst? Es gibt also nur Schädlinge per
HTTP und per Javascript? Wie mir das bei einer PHP reverse Shell
helfen soll, erklärst du mir sicher noch.
Entschuldige Christoph, aber ich denke nicht, dass ich deine
Sicherheitshinweise empfehlenswert finde.

vielleicht denken wir an unterschiedliche Szenarien. Ich schriebschon, dass ich von einem stinknormalen oder /plain vanilla/Desktop ausgehe. Der braucht beim heutigen Stand keinenVirenschutz außer *Brain 1.0* - siehe auch<http://www.heise.de/security/meldung/Linux-Banking-Trojaner-in-freier-Wildbahn-gesichtet-1932533.html>.Zitat: '"Hand of Thief" nutzt keine spezielleLinux-Sicherheitslücke aus; der Benutzer muss ihn selbstinstallieren, indem er beispielsweise ein Mail-Attachment ohnenähere Prüfung ausführt oder Programmpakete aus anderen Quellenals den Repositories seiner Distribution installiert.'.

Natürlich gibt es Schwachstellen, und es gibt(Beispiel-)Exploits. Aber die lassen sich im Gros nur lokalausnutzen oder es sind Studien von rein akademischem Interesse.Ich zitiere noch mal: 'Schad-Software in der Linux-Weltbeschränkte sich bislang auf zwei Klassen: Demos für Exploits,die nie "in the wild" gesichtet wurden, und gezielte Angriffe aufLücken in Server-Software.'

Damit kommen wir zu einem anderen Szenario, über das ich *nicht*geschrieben hatte: Webserver oder ein /exposed host/ am eigenenRouter. Da reden wir von einer ganz anderen Klasse vonVerletzlichkeit und Angriffen, siehe beispielsweise<http://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html>oder<http://www.heise.de/security/meldung/Webserver-Rootkit-befaellt-auch-lighttpd-und-nginx-1859414.html>.Allerdings wäre Clam hier, wie wenn man mit einem Holzschwertgegen Panzer kämpfen möchte. Ich stimme dir völlig zu, dass manzum Schutz von Rechnern, die öffentlich erreichbare Diensteanbieten, andere Geschütze auffahren muss als Clam und Brain 1.0.Für den Desktop hinter einem Router bleibe ich bei meinenEmpfehlungen, bis mir jemand einen belastbaren Fall bringt, indem das nicht gereicht hätte. EOD.


Christoph

Reply to:

Follow-Ups:
- Re: Virenscanner
  - From: Volker Weißmann <volker.weissmann@gmx.de>

References:
- Virenscanner
  - From: Volker Weißmann <volker.weissmann@gmx.de>
- Re: Virenscanner
  - From: Christoph Schmees <cjws@gmx.net>
- Re: Virenscanner
  - From: Bjoern Meier <bjoern.meier@gmail.com>
- Re: Virenscanner
  - From: Christoph Schmees <cjws@gmx.net>
- Re: Virenscanner
  - From: Bjoern Meier <bjoern.meier@gmail.com>

Prev by Date: Re: Virenscanner
Next by Date: Re: Virenscanner
Previous by thread: Re: Virenscanner
Next by thread: Re: Virenscanner
Index(es):
- Date
- Thread