Hallo zusammen,

bin noch relativ unerfahren was Linux betrifft und wuerde gerne wissen wie es um die ganze Viren-Problematik unter Linux wirklich bestellt ist. Hab natuerlich schon einiges darueber gelesen, aber das muss ja nicht stimmen und deswegen wollt ich eben eure Meinung dazu hoeren.

Mein derzeitiger Informations-Status:

1.) Es gibt zwar Viren fuer Linux, aber sicher um einige weniger als fuer Windows weil Windows aufgrund der viel staerkeren Verbreitung eben das lohnendere Angriffsziel ist.

2.) Selbst wenn man sich einen Virus einfaengt kann man den Schaden begrenzen wenn man ausschliesslich als normaler User arbeitet und nicht als root, denn in diesem Fall kann der Virus ja auch nur mit den eingeschraenkten Rechten eines normalen Users agieren und nicht mit root-Rechten ungehindert im System herumpfuschen. Ein sehr erfahrener Experte kann sicher auch dieses Problem umgehen, aber ich kann mir vorstellen dass das eine nicht ganz so triviale Programmieraufgabe ist oder? Es sei denn man kennt eine Sicherheitsluecke die es einem verhaeltnismaessig leicht macht.

Und wie ist das mit dem Ausfuehrungsrecht? Damit ein Virus ausgefuehrt werden kann muss auf der Datei ja auch erst mal das entsprechende Recht gesetzt sein oder? Unter Windows geht das mit den .exe Dateien sicher leichter.

3.) Ein Virus hat es unter Linux schwerer weil es soviele Distributionen gibt die sich mitunter sehr voneinander unterscheiden und daher der Aufwand einen Virus zu programmieren der unter (fast) allen Distributionen laeuft hoeher ist. Aber worin bestehen diese Unterschiede? Warum kann es beispielsweise sein dass ein Virus unter Ubuntu funktioniert, unter einer anderen Distribution aber nicht? Windows ist da ja eher homogen, sodass die Wahrscheinlichkeit dass ein Virus unter mehreren Versionen laeuft hoeher ist.

4.) Der Update-Mechanismus hat umfassendere Wirkung als unter Windows denn da wird ja meistens nur das Betriebssystem mit Sicherheits-Updates versorgt, aber nicht die zusaetzlich installierte Software.

5.) Da der Quellcode von Linux ja von jedem eingesehen werden kann wird der eine oder andere aufmerksame Benutzer moeglicherweise die eine oder andere Sicherheitsluecke entdecken und idealerweise dafuer sorgen dass diese ehestmoeglich geschlossen wird. Ich kann mir vorstellen dass das bei Linux im Allgemeinen sicher schneller passiert als bei Microsoft weil es bei Microsoft sicher laenger dauert bis die Info an der richtigen Stelle landet. Es macht sicher einen Unterschied ob man sich mit einem Anliegen an ein Unternehmen wendet oder an eine breite Community im Netz die ohne Geld dafuer zu bekommen an der Verbesserung des Systems interessiert ist.

Es kann natürlich sein dass ich da groesstenteils nur Bloedsinn geschrieben hab, aber ich denk dass ich da im Grossen und Ganzen nicht so falsch liege oder?

Nicht zuletzt vertrete ich die Meinung dass die Sicherheit eines Systems immer nur so hoch ist wie die Vorsichtigkeit des Benutzers der damit arbeitet. Das gilt fuer alle Systeme, egal ob es jetzt Windows, Linux oder irgendein anderes System ist. 100%ige Sicherheit wird es nie geben, aber man kann selbst viel dazu beitragen dass man so nah wie moeglich rankommt.

lg, Markus

PS: Ich musste die ganzen Umlaute ersetzen weil sie nicht richtig dargestellt wurden, woran liegt das?

Ich finde deine Punkte "richtig", ist halt relativ, da das ein Bereich ist, wo viel mit "Glauben" bzw. "Annahmen" argumentiert wird.

Ansonsten war ja gerade die Heise Security Tour gewesen, leider findet man da wenig bis garnichsts, daher eine recht einseitige Sicht:
https://blog.fefe.de/?ts=a7eba6fb
https://blog.fefe.de/?ts=a7f4c0ac
https://blog.fefe.de/?ts=a6015c0e
https://blog.gdata.de/2017/05/29714-schutz-oder-schlangenoel

Zum Thema wannacry und die Problematik dazu: https://alternativlos.org/39/

Inzwischen bin ich da übrigens eher bei Fefe, zugegebener weise habe ich den Windows Defender noch am laufen. AV Produkte habe ich schon länger nicht mehr und verbreite die auch nicht mehr. Das liegt im Endeffekt daran, dass die mir zu aufdringlich wurden und sie ständig irgendwas neues verkaufen wollten, was dann zu erhöhten Support bei meinen "Usern" (nennen wir sie mal so ;)) führt. Da passt halt was nicht mehr, den am Ende war die AV (das Regenschirm Ding und A*G, hatte ich bis dahin verbreitet, weil sie vermeindlich kostenfrei sind) häufig Ursache des Problems.

Jedenfalls scheint mir eine vernünftige Kontrolle des eigenen Systems sinnvoller zu sein. Das gute bei Linux ist, dass das so offen ist, dass einfach keine solche mythischen Schlangenöl Anwendungen braucht, dass ist bei Windows anderes, nur weil da viel "geheim" ist, gibt es überhaupt Raum für diese "Mythen".

[edit]Bzgl Umlaute keinen Plan, aber sehen auch hier nicht gut aus.

(1) Ja.

(2) Wenn das lokale System aktualisiert ist und nicht verkonfiguriert und kein 0-Day-Exploit in Verwendung ist - ja.

(3) Das kommt auf die Natur des Virus an und wie verhaftet er mit der Ausnutzung eines bestimmten Features / Bugs ist.

(4) Ja.

(5) In der Theorie ja. In der Praxis - auch MS kann innerhalb eines Tages nach Bekanntwerden eine Bugs Patches bereitstellen. Da ist MS durch die zentrale Organisation sogar fast besser aufgestellt. Bei Linux muss der Bug evtl. erst mal durch komplexe Strukturen durch, bis er in jeder Distribution gefixed ist. Je nach "lokaler" Organisation kann das mehr oder weniger lange dauern.
Zudem - ja, Bugs können ggf. leichter gefunden werden - wenn sich jemand darum kümmern würde, sie zu suchen. Das basiert bei Linux größtenteils auf Freiwilligkeit während Firmen wie MS da ded. Abteilungen und externe Unternehmen beschäftigen.
Und auch hier kommt wieder die Frage der Verbreitung - je mehr User ein System hat desto mehr kümmern sich ggf. um Bugfindung.

Viren auf Linux ?
Ganz einfach: theoretisch machbar, aber da moderne Viren Geld verdienen sollen schreibt kein Mensch sie für ein Betriebssystem das nur auf 2% aller Desktops läuft. Lohnt für die Schreiber einfach nicht.

Wenn du die Kiste noch vernünftig absicherst (Skriptblocker in Browser, Patches immer einspielen) ist das praktische Risiko einer Infektion so gut wie null.

Einen Sicherheitsvorteil sehe ich bei Linux aber: Patches für das Betriebssystem und alle Programme die über die Paketverwaltung installiert wurden (sinnvollerweise möglichst alle) kann man in einem Klick bzw. mit einem Befehl auf der Kommandozeile ausführen, und der Prozess dauert nur ein Bruchteil der Zeit die bei Windows benötigt wird. Daher dürften kaum ungepatchte Linuxkisten im Internet unterwegs sein.

die beiden Absätze (1) und (3) sind leider mehr Wunschdenken und Theorie als Praxis. Faktor Mensch ist leider viel zu mächtig.

Und ja - es gibt Linuxviren und Viren, die auch auf Lnux "funktionieren" - aber ja, der Chance einen zu erwischen ist recht gering.

...
Und ja - es gibt Linuxviren und Viren, die auch auf Lnux "funktionieren" - aber ja, der Chance einen zu erwischen ist recht gering.
Wobei diese Argumentation ja gerade von Fefe stark kritisiert wird, eben weil viele AV Apps Löcher geschaffen haben, weil die genau so eine Einschätzung getroffen haben, also die Chance erwischt zu werden ist recht gering, die aber halt doch öfter mal nicht zu treffend war, im Grunde sind alle Hersteller davon betroffen.

Wenn ich der Argumentation von Fefe folge, heißt das für mich, man muss sein komplettes System verstehen, ansonsten bleibt es beim jetzigen Zustand, man installiert sich einen Schlangenöl-Voodoo-Schutz (https://blog.fefe.de/?ts=a7e37a63) und hofft auf das beste. Bei Linux bzw. offenen System ist es vergleichsweise einfach, das komplette System zu verstehen und dann eine IDS zu erschaffen.

Ob es jemals soweit kommen wird, da habe ich so meine Zweifel. Computer und Gefühle werden uns wohl noch lange erhalten bleiben, ist ja auch irgendwie ganz nett so. Schätze ich jedenfalls mal ;)

Nicht falsch verstehen - ich argumentiere nicht für oder gegen Virenscanner und auch nicht gegen die gefühlte Sicherheit. Aus meiner Sicht stelle ich einfach mal ein "Faktum" in den Raum (oder 2):
- es gibt Viren für Linux
- die Chance einen zu bekommen ist recht gering.

Bewusst sein sollte man sich der Gefahr natürlich. Und sie auch nicht verharmlosen.

Nicht falsch verstehen - ich argumentiere nicht für oder gegen Virenscanner und auch nicht gegen die gefühlte Sicherheit. Aus meiner Sicht stelle ich einfach mal ein "Faktum" in den Raum (oder 2):
- es gibt Viren für Linux
- die Chance einen zu bekommen ist recht gering.

Bewusst sein sollte man sich der Gefahr natürlich. Und sie auch nicht verharmlosen.

Ich finde für Neulinge sollte man das in konkrete Praxistipps umsetzen:

- Unter Linux kein AV Programm installieren (schon gar nicht ClamAV): lohnt nicht, unter Linux Desktopbetrieb (nicht Mail oder Fileserver- da gelten andere Kriterien) kein Sicherheitsgewinn
- auch unter Linux dubiose Websites meiden, nicht auf alle Links klicken, Browser mit Skriptblockern absichern
- unter jedem Betriebssystem: Sicherheitspatches für System und installierte Programme zeitnah einspielen

... und - vor allem Backups. Auch ein wichtiger Punkt in einem Sicherheitskonzept.

Sollte mal ein Ransomware-Script auf Linux eintrudeln (ich muss zugeben, ich weiß nicht, ob es schon welche gibt) - ist das Ergebnis ähnlich erfreulich wie unter Windows. Mit Glück (s.o.) ist das OS noch sauber und "nur" die eigenen Daten verschlüsselt.

Auweia, fehlt in meiner Aufzählung. Backups kannst du ruhig fett drucken.

Ja und auch nicht vergessen, dass man ein Medium hat was nicht ständig mit dran hängt, ein paar meiner "User" lassen ihre USB-Backup-Festplatten nämlich einfach so dran, Frechheit diese Meldung der super Backup Software, wenn die Platte nicht dran hängt, so gesehen kann ich das schon fast wieder verstehen, aber nur fast ;)

Hallo!

Vielen Dank für die informativen Antworten :) Was mich als Software-Entwickler aus technischer Sicht noch interessieren wuerde: Worin bestehen genau die gravierenden Unterschiede zwischen den einzelnen Distributionen sodass sie für einen Virus relevant sind? Hab immer wieder gelesen dass es da mitunter ziemliche Unterschiede gibt die den Aufwand einen Linux-Virus zu programmieren noch weiter erhoehen.

Und noch eine Detailfrage zu den Updates: Wird da außer dem OS alles aktualisiert was ich über die Paketverwaltung installiert habe bzw. dann nachträglich auf diesem Weg installiere?

Hab vor einigen Tagen diverse Artikel zum Datenschutz-Thema unter Windows 10 gelesen. Dass Windows alles moegliche nach draussen funkt ist eh nix Neues, aber das was da in dieser Version ablaeuft schlaegt ja wirklich alles. Da fragt man sich wirklich wer sich das freiwillig installiert.

Ich steig jetzt jedenfalls auf Linux um, Gründe gibt's genug dafür aus meiner Sicht.

lg, Markus

Da Du Softwareentwickler bist - überleg doch mal, was ein Virus machen will / soll, welche Vorraussetzungen er dafür mitbringen muss / soll / kann und welche "Unterstützung" er dabei vom Anwender, der installierten Software und vom Betriebssystem haben sollte / braucht. Überleg dabei auch die potentiellen bzw. "am liebsten genommenen" Verbreitungswege von Viren.

... und dann überleg mal, wie die entsprechenden Bedinungen unter welchem Betriebssystem gewährleistet sein könnten...

Wie ich oben schrieb werden beim update auch alle über die Paketverwaltung installierten Programme akrualisiert. Voraussetzung ist dass die entsprechenden Repositories eingebunden sind und dass du im Paketmanager kein Programm explizit von der Aktualisierung ausgenommen hast,

... und daß Aktualisierungen für das Paket (aus Sicht der Distribution) bereit stehen.

Dabei noch drüber nachdenken, wie welche Distribution das mit den Aktualisierungen handhabt - Stichwort Backports und Version-Pinning.

Viren auf Linux ?
Ganz einfach: theoretisch machbar, aber da moderne Viren Geld verdienen sollen schreibt kein Mensch sie für ein Betriebssystem das nur auf 2% aller Desktops läuft. Lohnt für die Schreiber einfach nicht.
......
Das Argument halte ich schon seit Jahren für schlicht nicht haltbar und Microsoft kontaminiert, um die Virenanfälligkeit von Windows abzuschwächen und sich ins bessere Licht zu rücken.

Das klingt gerade so, als könne man nur mit Desktops Geld verdienen? In der Praxis wird Linux vorwiegend auf Servern eingesetzt und Im Internet wird der Löwenanteil an Servern wohl mit Linux betrieben. Kapere ich einen Server, erhalte ich mit einer erfolgreichen Infektion Zugriff auf die Daten hunderter User. Effizient wäre es also, Viren für Server zu schreiben.
Da stellt sich dann also die Frage, wieso gibt es keine bekannten Viren für Linux-Server? Rootkits mit dem Hintergedanken Geld zu verdienen gibt es für Linux ja genug, was spräche also gegen Viren?

Ich lehne mich mal aus dem Fenster und behaupte:
Die wenigen Linux Viren, die existieren, gibt es weil jemand zeigen wollte, dass man theoretisch einen Virus für Linux schreiben kann. In der Praxis habe ich in meinen 27 Jahren als Admin noch nie einen zu Gesicht bekommen und ich denke, kann man einen erfolgreich infizierten Rechner mit Linux vorweisen, steht die Linuxgemeinde kreischend Kopf und nimmt das System auseinander um zu sehen, was um Gottes Willen da passiert ist.

Unter Linux setzt eine erfolgreiche Infektion nicht nur Systemschwächen, sondern auch enorme Dummheit der Anwender voraus. Nicht, dass das bei Windows generell anders wäre, aber Windows-User verlieren den Kampf gegen Viren deshalb, weil sie sich nicht oder mangelhaft mit Ihrem System auseinander setzen und Windows die Faulheit der Anwender durch unnötige und gefährliche Automatismen fördert.

na, dann freuen wir uns doch auf all die neuen Linux-Nutzer, die ihr System einfach nur benutzen und sich freuen, daß die ganzen Komfort-Funktionen und Automatismen, die sie aus Windows kennen dort inzwischen auch immer mehr ankommen und eingebaut werden.

Ansonsten - siehe auch
* http://www.zeit.de/digital/datenschutz/2015-11/computerkriminalitaet-erste-ransomware-linux-osx
* http://www.zdnet.de/88285937/ransomware-fuer-open-source-eset-warnt-vor-linux-variante-von-killdisk/
* http://www.linux-magazin.de/NEWS/Ransomware-Fairware-befaellt-Linux-Server
... und über die Lücken in Bowsern, PDF-Viewern und Konsorten müssen wir nicht diskutieren, die sind anerkannt.

Das Problem ist eher - Viren an sich sind unattraktiver geworden - Ransomware und Konsorten zum Identitäsklau sind der neue "heiße ******" - und da ist es ggf. völlig unabhängig vom OS, weil die problematische Ebene auf Browser-Schicht hochgehoben wird.

... und über die Lücken in Bowsern, PDF-Viewern und Konsorten müssen wir nicht diskutieren, die sind anerkannt.


flash player nicht vergessen!!

ein rechner ( egal linux, windows oder mac ) mit einem flash player hat nichts im internet zu suchen...

Ich sags mal kurz mit verantwortungsvollem Umgang und gesundem Menschenverstand auf beiden Seiten (User und Dienstebetreiber) bräuchte man theoretisch keinen Virenscanner. Wenn man mal Sicherheitslücken außen vor lässt.

Bei manchen Usern herrscht aber eine Wild-Klick-Klick-Mentalität, dass man denen doch lieber Sicherheitssoftware installiert um zumindest bekanntes abzufangen.
Manchen Usern ist gesunder Menschenverstand und verantwortungsvoller Umgang aus diversen Gründen auch nicht zu zutrauen und dann sind doch Sicherheitslücken ein Einfallstor und nicht außen vor zu lassen.

Also eine Art von Schutz wird definitiv benötigt. In welcher Form dieser realisiert werden sollte ist wohl auch eine situationsbedingte Glaubensfrage.
Meiner Meinung nach sind die eierlegenden Wollmilchsäue als "Desktop Enterprise Security Suite" ein Problem, da zu viel Privilegien und Funktionen in einer Software stecken. Weniger und modular ist hier mehr, vielleicht auch zentral im Netz... wie gesagt "situationsbedingte Glaubensfrage".

Viren für Linux... ja es gibt sie... sie sind möglich und ich würde deine Frage eher auf Malware allgemein beziehen. Da die Funktionalität ja in den letzten Jahren doch mehr und mehr vermischt wurde und man das nicht mehr so klassisch trennen kann.

Die bekannteste Malware für Linux aus den Medien relativ aktuell ist doch Mirai.

Wobei Mirai ja auf altem, Käse aufsetzt. Sprich: IOT, Internet of unsecure Things. Smartes Kinderspielzeug, Babyphones etc., hergestellt in China, hängt mit steinaltem Linux/Android ohne Updates im Internet.

Du magst alten Käse?
Alter Käse macht sich seinen Namen.
Also ist Mirai nach deiner Auffassung nicht mehr relevant? Schon mal nach conficker gegoogelt?

Also ist Mirai nach deiner Auffassung nicht mehr relevant? Schon mal nach conficker gegoogelt?
Wenn Du mir jetzt noch die Stelle zeigen würdest, wo er das behauptet hat oder aus Du der herausließt, daß er das gemeint haben könnte?

Interpretationsspielraum lässt mich zu diesen zwei Fragen, nicht Feststellungen, kommen.

Besonders die Bezeichnungen alter Käse und Steinaltlinux ohne Updates lässt vermuten, dass er es nicht mehr für relevant hält. Weil wer sich schützen will nutzt einfach ein aktuelles (Desktop) Linux. Was auf embedded Geräten faktisch nicht immer möglich ist. Auch auf dem Desktop soll es noch Steinalt Linuxversionen ohne Updates geben. Malware soll sich auch weiterentwickeln können.

Also keine Panik zwei Fragen sind in einem öffentlichen Forum doch erlaubt?

@sysop : im Serverbereich gibt es doch ab und zu Würmer die sich ausbreiten, außerdem werden doch immer wieder Server geknackt, Viele der Botnetz IOT Geräte laufen doch bestimmt unter einer Linuxvariante.

Android hat zwar einen Linuxkernel, aber nach wenigen Jahren erhält man keine Sicherheitsupdates, Wenn Linux also so schlampig angewendet wird wie Windows vermutlich programmiert ist dann wird es nach meiner Ansicht ähnliche Probleme erhalten.

Der Hauptvorteil den ich bei Linux sehe ist wie einfach man es aktuell halten kann, bei Windows nervt das Updaten nur noch und ist auch enorm zeitaufwendig. Damit erkläre ich mir die vielen ungepatchten Windowskisten die offensichtlich "unterwegs" sind.

Besonders die Bezeichnungen alter Käse und Steinaltlinux ohne Updates lässt vermuten, dass er es nicht mehr für relevant hält. Weil wer sich schützen will nutzt einfach ein aktuelles (Desktop) Linux. Was auf embedded Geräten faktisch nicht immer möglich ist.
Damit sagst Du selbst, daß es heute noch relevant ist.

Eigentlich gibt es da keinen Interpretationsspielraum.

Natürlich ist Mirai noch aktuell.

Nur ist das Ziel nicht das topaktuelle Desktop-Linux, sondern steinalte Linuxe/Androide in Babyphones und ähnlichem smarten China-Elektrikmüll. Das Zeug ist bei Auslieferung teilweise schon veraltet und Updates wird es niemals geben.

Damit sagst Du selbst, daß es heute noch relevant ist.
Ja was ich weiter oben auch noch direkt als Beispiel für relativ aktuelle Malware unter Linux nenne. Worauf du hinaus willst versteh ich nicht?



Eigentlich gibt es da keinen Interpretationsspielraum.
Ich fand die Aussage etwas mehrdeutig.



Nur ist das Ziel nicht das topaktuelle Desktop-Linux, sondern steinalte Linuxe/Androide in Babyphones und ähnlichem smarten China-Elektrikmüll. Das Zeug ist bei Auslieferung teilweise schon veraltet und Updates wird es niemals geben.

Das trifft speziell auf Mirai zu. Mirai sollte auch nur ein Beispiel sein, dass Linux Malware im großen Stil möglich ist.

Malware kann nicht selten Code nachladen. Wie schnell Mirai dann ein *buntu Bot-Net werden kann lass ich mal so im Raum stehen.

Wenn man mal betrachtet was bei der ein oder anderen Distri bei sudo voreingestellt ist oder mancher User einstellt hilft auch kein Update mehr. Wie wild manche User downloaden und installieren begünstigt das dann noch. Oder Copy&Paste Code ausführen.

Auch up2date IoT hilft nicht immer. Libreelec kannst du regelmäßig updaten und das SSH-Passwort bleibt weiterhin unveränderbar und aller Welt bekannt. Auch auf teurer nicht China Hardware.

Also nur weil man auf dem Desktop regelmäßig Updates zieht ist man nicht unbedingt geschützt. Die Art und Weise des Schutzes sollte man sich doch gründlich überlegen. Überzogen gesagt will ich meine Freunde nicht durch den Nacktscanner schicken, damit die keine verseuchte Hardware einschleppen. Denn Gastnetzwerke haben nur "Freaks und Nerds" [emoji51]