Hi, KaaLUGs,

bei einem Gespräch mit einem Bekannten gab der mir einen Artikel aus dem PC-Pannenhelfer zu lesen, nach dem es angeblich für Linux mehr Viren gäbe als für Windows. Ich habe daraufhin mal im Web ein wenig geblättert und fand die Aussage, dass es sich um Viren handele, die nur die Server angreifen.
Für Desktops habe ich nichts mich Beunruhigendes gefunden.

Aber geht das überhaupt? Nur Server?

Andererseits kann ich mir nicht vorstellen, dass die gesamte Linux-Community nur aus Ignoranten bestehen, die eine böse
Bedrohung nur überheblich übersehen.
Wie ist Eure Meinung?

Gruß

Guenbeck

Hallo Guenbeck,

ein Virus, wie er klassisch unter Windows zu finden ist und sich z.B. über infizierte Wechselmedien verbreitet ist mir unter Unix noch nicht untergekommen. Wobei das auch mit zunemenden Automatismen wahrscheinlicher wird. Man legt das Medium ein und ein Programm vom Medium wird ausgeführt wäre höchst bequem aber auch höchst bedenklich.
In der Regel werden die Wecheselmedien extra deshalb mit der Option "(no)Exec" gemounted, was genau das (und jedliche Programmausführung) unterbindet.
Auch denkbar sind Makroviren in ODT Dokumenten, sobald dieses Format beliebt genug geworden ist. Ich denke Libreoffice&Co hat da garantiert noch einiges Potential.

Es gibt aber noch sehr viele weitere Wege, wie Schädlinge ein System befallen können...
Per e-mail Anhang zum Beispiel. Das wird einen Server nicht passieren, aber der Enduser öffnet den Anhang und schwupps wäre besagter Makrovirus aktiv. Hier gibt es aber zwei Dinge, die Unix etwas besser macht als Windows:
1) Benutzerrechte. Der Virus kann erstmal nur im Kontext des Benutzers auf dem Unix System Unsinn machen. Mitlerweile ist das zwar unter Window auch möglich. Aber Windows ohne Adminrechte ist wie Holzbankklasse - ständig rennt man vor Barrieren im täglichen Betrieb. Da merkt man schon, dass bei Unix dieses Konzept von Anfang an berieben wurde.
2) Unix zeigt immer den vollen Dateinamen. Die Anhangmasche klappt so toll, weil die Dateien Rechnung.pdf.vbs in Outlook als Rechnung.pdf angezeigt werden... und schwupps...

Wenn du von "Server-Viren" sprichst, meinst du wahrscheinlich das Ausnutzen von Netzwerkschwachstellen. Man nennt sich automatisiert verbreitende Schädlinge, soweit ich weiß, Würmer. Und die befallen eigentlich alles (jedes am Netzwerk angeschlossene, erreichbare und verwundbare System) egal ob Server oder Host. Da schützt einen nur, dass man
A) hoffentlich die verwundbare Software nicht installiert hat oder
das das Internet 2 hoch 32 IP Adressen hat, die man nicht mal eben alle abtesten kann. Aber der Teil ist Casino...

Der Unterschied zwischen Server und Endusersystem liegt nur darin, dass man als Endusersystem viele der Netzwerkdienste nicht installiert, da man sie nicht braucht. Webserver mit PHP, Perl oder sonstwas z.B. und darauf wohlmöglich noch was wie phpMyAdmin oder phpLdapAdmin, Joomla, Wordpress & Co die wiederum Lücken im PHP Code offen lassen, welche dann von Angreifern für die Übernahme genutzt werden könnten.

Auch sehe ich in unseren Firewall-logs Haufenweise Schrottpakete, welche prüfen, ob wir einen SIP Server haben, Samba Server oder anderes. Sogar Zufallsports werden getestet. Wenn man sowas offen stehen hat, wird es irgendwann entdeckt und ausgenutzt. Das ist schon manchem Routerhersteller zum Verhängnis geworden, die auch dachten, das Security by Obscurity eine gute Idee wäre.

Was aber auch einen großen Teil unseres eingehenden KaaLUG Verkehrs ausmacht sind Verbindungsversuche von Automaten an unseren SSH Zugang. Da werden dann Account- und Passwortlisten abgearbeitet bis es irgendwann mal einen Treffer gibt.
Dann übernummt man den Account und kann von da weiter vorgehen oder einfach unter dem Account einen Bot laufen lassen der dann Kommandos von Steuerservern annimmt und SPAM ausliefert oder bei DDoS Attacken mit macht - das geht dann eher halbautomatisch bis manuell. Aber selbst hier scheint die Automatisierung fortgeschritten zu sein, wenn man hört, dass das Mirai Botnetz einige hunderttausend IoT Geräte fernsteuert. Das macht man nicht mehr manuell.
Erstmal mit SSH an der Unix Shell kann man diverse System-interne Lücken nutzen, um eine Rechteeskalation zu erreichen (und damit root werden) und dann kann man von dort das System komplett übernehmen und sein Rootkit vor dem übrigen System verstecken.

Das ist jetzt bewußt schwarz gemalt. Die Lücken sind da aber sie müssen gefunden und ausgenutzt werden.
Viele der Lücken werden schnell geschlossen. Manche leben aber auch recht lange.
Aber immer bedarf es eines Knowhows...

Aber so ist das leider. Sicherheit ist sehr, sehr relativ.
Um auf deine Frage zu kommen. Nein, klassische Viren gibt es nicht unter Linux. Was aber nicht heißt das Linux unbedingt sicherer ist als Windows. Der Vergleich ist äußerst schwierig, da man nie die Gesamtheit der Lücken beider Betriebsysteme wird erfassen können und letztendlich auch schlecht gewählte Voreinstellungen einer Distribution sein können die über die Sicherheit entscheiden.

Liebe Grüße,
KlaRen

Vereinzelt gibt es solchen "Schadkot" schon. Ich erinnere da an den Banking-Trojaner im letzten Jahr, bei dem man als Anwender noch mithelfen musste um ihn zu installieren, was ich sehr erheiternd fand.

Ergänzen möchte ich die Diskussion um zwei weitere Unterschiede: Es gibt halt nur ein Windows, aber zahlreiche Linux(distributionen) und Desktopumgebungen. Neben der unsäglichen Autorun-Funktion , die die meisten Anwender wohl immer noch nicht dauerhaft oder zumindest temporär mit Druck auf die Umschalt-Taste deaktivieren (schönes Wortspiel: "deaktiVI(E)REN" ), dürften viele dieser Schadprogramme bei Linux eben nur auf bestimmten Distributionen oder Desktopumgebungen laufen. Wenn beispielsweise ein hypothetischer Fehler in apt bestünde, würde das die Anwender von Arch Linux oder der RPM-basierten Distros herzlich wenig jucken. Sprich: als Virenautor hat man zudem noch die Hürde, dass man seinen Kram so schreiben muss, dass er auf allen möglichen Zielsystemen lauffähig ist. Was die Attraktivität für diese Zielgruppe weiter senkt. Von daher dürften Serversystem in der Tat die interessantesten sein, da Linux hier ganz klar vorne ist. Was man zusätzlich bestätigt sieht bei den mittlerweile sehr zahlreichen Androidwanzen, da Android ja auch ... auf Linux basiert.

Hallo Dr. Tux,

in der Tat, da hast du recht. Ich denke sobald es eine weite Verbreitung einer Software gibt, wird es auch diejenigen geben, die deren Lücken versuchen werden für sich auszunutzen.
Android wird das nächste Windows. Die Schlangenöl-branche ist da ja schon auf den Zug aufgesprungen. Schaut her:
play.google.com/store/apps/details?id=com.symantec.mobilesecurity

um nur ein Beispiel zu nennen.
Und mit dem unglaublichen Updateschema von Android - Hersteller die quasi ihre Hardware nur für eine Androidversion bauen, um dann die Kunden im Regen stehen zu lassen... das ist doch idealer Nährboden für die bösen Buben..

Liebe Grüße,
KlaRen

Hallo Guenbeck,

die Aussage, dass es für Linux mehr Viren gibt als für Windows halte ich schlichtweg für falsch. Ich gebe zu, dass ich keine genaue Zahlen habe, aber das kann einfach nicht sein. Man hätte in der Fachpresse von zahlreichen Infektionen lesen müssen, dem war aber nicht so. Ich halte es für unmöglich, dass mir das entgangen ist. Windows ist und bleibt aus verschiedenen Gründen die Viren- und Malwareschleuder Nummer 1.
Es gibt Viren für Linux, aber nur sehr vereinzelt.

>Aber geht das überhaupt? Nur Server?
Ja, das geht.
Diese Systeme werden nicht über das Betriebssystem angegriffen, sondern über die Software, die darauf läuft. Das kann ein schlecht abgesicherter Webserver oder aber was meistens der Fall ist eine Blog-Software oder ein Shop-System wie Magneto sein. Tatsächlich wurden von einigen Monaten zahlreiche Linux-Systeme angegriffen, bei denen zumindest anfangs unklar war, wie der Angriff durchgeführt wurde.

Ich fühle mich mit meinem Linux-Desktop sicher.
Wobei die Überheblichkeit mancher Linux-Benutzer, meiner Ansicht nach, unangebracht ist. Von den Verschlüsselungstrojanern, die vor einigen Wochen verstärkt rumgeisterten kann ein Linux-Desktop System in ähnlicher Weise betroffen sein, wie eines von MS oder Apple, wenn der Angreifer sich auf ein Linux vorbereitet hat.
In der Praxis tun das die meisten Angreifer, vermutlich wegen der weniger großen Verbreitung von Linux nicht. Wenn es aber mal einen plattformübergreifenden Verschlüsselungstrojaner geben sollte, dann würde dieser unter Linux ähnlich unangenehme Folgen haben wie unter Windows oder Apple, denn das bessere Rechtesystem könnte es nicht verhindern, dass der Trojaner alle Dateien auf die der Benutzer Zugriff hat, verschlüsselt.

Ich fühle mich mit meinem Linux Mint sicher. Mehr Sicherheit ist zwar möglich, würde aber den Komfort einschränken. Irgendwann muss man sich meiner Meinung nach fragen, wo ein legitimes Sicherheitsinteresse endet und die Paranoja beginnt.

Es stellt sich allerdings auch die Frage: Wer ist der Gegner? Alles unterhalb eines guten Geheimdienstes hat nur in Ausnahmefällen die Chance ein normales Linux zu knacken.
Ein aktuelles Linux ist und bleibt eine gute und relativ sichere Alternative.

Ich halte mein Mint mit der Aktualisierungsverwaltung "mintUpdate" auf dem neuesten Stand. Ich frage mich allerdings warum findet ein "sudo apt-get upgrade" ab und zu noch Updates, während "mintUpdate" nichts mehr anzeigt?

Alles in allem "der Linux Desktop ist eine feste Burg".