Mal 'ne ganz blöde Frage:

Braucht man auch für Linux ein AV-Programm?

Bieten AV-Programme überhaupt irgendeinen Schutz gegen Malware/Spyware/Trojaner/Rootkits/Hintertüren, die nicht von Cyber-Kriminellen, sondern von anderen Parteien stammen...?

AFAIK eher nicht...

R2

Braucht man auch für Linux ein AV-Programm?

Man braucht es genau so wenig oder viel wie bei jedem anderen Betriebssystem auch.

Die meisten Linux-Distributionen liefern dir übrigens schon haufenweise Software und Updates gleich mit, daher ist man tendenziell weniger auf Dritte für Software angewiesen, was bei Malware und Co. eventuell von Vorteil sein kann. Man kloppt sich einfach seltener Software aus unbekannten Quellen auf die Platte.

Bieten AV-Programme überhaupt irgendeinen Schutz gegen Malware/Spyware/Trojaner/Rootkits/Hintertüren, die nicht von Cyber-Kriminellen, sondern von anderen Parteien stammen...?

Sehr wahrscheinlich wird ein AV-Programm in solchen Fällen sogar eher kontraproduktiv sein, weil es haufenweise schlecht getestete Parser in einem oft ziemlich unsicheren Paket schnürt. Zum Vergleich kannst du dir einmal hier angucken, für wie viel Geld ein 0-Day-Exploit über die Ladentheke geht: https://www.zerodium.com/program.html

Ein RCE kostet für die üblichen Antiviren-Programme nur knapp $50.000. Weil Antiviren-Programme meistens ohne Sandbox und mit höheren Rechten laufen, hat man damit auch schon direkt verloren.

Wenn du dir aber über "andere Parteien" Sorgen machst, dann dürfte die Sicherheit deines Rechners noch dein geringstes Problem sein.

Um mal etwas weiter auszuholen.

Auf einem Desktop System (Linux/*BSD/Unix) ist ein Virenscanner in den meisten Fällen überflüssig. Bei Mac/ Android könnte es eher relevant sein.

Im Serverbereich kommt es auf die Aufgabe an. Mailserver sollten da auf jeden Fall einen installiert haben, um Viren für Windows rauszufiltern.

Andere Server sollten eher mit IDS/ IPS wie Tripwire abgesichert sein, um ungewollte Veränderungen an Dateien zu bemerken.

Auf einem Desktop System (Linux/*BSD/Unix) ist ein Virenscanner in den meisten Fällen überflüssig. Bei Mac/ Android könnte es eher relevant sein.

Unter Android haben Third-Party-Antivirenscanner gar keine entsprechenden Rechte und unter macOS kann man standardmäßig seit einigen Jahren gar keine unsignierte Software mehr installieren.

Die Sicherheitsberichte für Mac sagen etwas anderes aus. ;)

https://www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-156/Apple-Mac-Os-X.html

Ich sehe dort wortwörtlich keine einzige Sicherheitslücke, bei der ein Antivirenscanner irgendeinen Vorteil gebracht hätte.

Mir ging es um diesen netten Kommentar: macOS kann man standardmäßig seit einigen Jahren gar keine unsignierte Software

Die Lücke bei Safari hast du aber gesehen?

Virenscanner würden was bringen, wenn die Lücken auch ausgenutzt würden. Da sie kaum ausgenutzt werden ...

Was soll ein Virenscanner beim Mac (oder Linux) bringen, außer den Rechner anfälliger und langsamer zu machen? Die Virenscanner sind häufig bzw. i.d.R. nämlich selber ein Problem.

Mir ging es um diesen netten Kommentar: macOS kann man standardmäßig seit einigen Jahren gar keine unsignierte Software

Die Lücke bei Safari hast du aber gesehen?

Ich sehe deine Lücke gerade nicht. Es macht aber auch keinen Unterschied für die Tatsache, dass macOS seit Jahren Signaturen von Programmen checkt.

Wenn ich danach gehen würde, dass Software XY einmal eine Sicherheitslücke hatte, dürfte ich generell keine Software benutzen.

Virenscanner würden was bringen, wenn die Lücken auch ausgenutzt würden.

Speziell dabei bringt dir ein Virenscanner genau nichts.

Nach der Logik müsste sich jeder GNU/Linux- oder BSD-Nutzer jedes Mal einen Antivirenscanner installieren, wenn mal wieder ImageMagick oder Ghostscript eine schwerwiegende Sicherheitslücke haben. Man munkelt, dass man ohne libpng auch sehr viel sicherer unterwegs ist, aber vielleicht will ich ja einmal so eine exotische Tätigkeit wahrnehmen wie ein Bild im Browser anzugucken.

1.) Ich sehe deine Lücke gerade nicht. Es macht aber auch keinen Unterschied für die Tatsache, dass macOS seit Jahren Signaturen von Programmen checkt.

2.) Wenn ich danach gehen würde, dass Software XY einmal eine Sicherheitslücke hatte, dürfte ich generell keine Software benutzen.

3.) Speziell dabei bringt dir ein Virenscanner genau nichts.

4.) Nach der Logik müsste sich jeder GNU/Linux- oder BSD-Nutzer jedes Mal einen Antivirenscanner installieren, wenn mal wieder ImageMagick oder Ghostscript eine schwerwiegende Sicherheitslücke haben. Man munkelt, dass man ohne libpng auch sehr viel sicherer unterwegs ist, aber vielleicht will ich ja einmal so eine exotische Tätigkeit wahrnehmen wie ein Bild im Browser anzugucken.1.) Einfach mal richtig lesen. Das Ding ist vom 11-01-2019 und schön in rot. Einfach mal die Texte lesen.
https://www.cvedetails.com/cve/CVE-2018-4404/
Integrity Impact Complete (There is a total compromise of system integrity. There is a complete loss of system protection, resulting in the entire system being compromised.)

Exploit für die Lücke ist unten im Link aufgeführt.

2.) Großartige Erkenntnis. Und jetzt überlegen wir mal, warum man nicht gleich alles installiert, sondern nur grundlegende Sachen.
Es hat schon seinen Grund, warum einige Distris eine Installation für Desktop und Server anbieten.

3.) Gerade von dir hätte ich so eine sinnlose Aussage nicht erwartet.
Der Vorteil ist, dass die Lücken schnell gefixt werden. Aus diesem Grund hab ich oben geschrieben, dass ein Virenscanner auf einem Desktopsystem unter XYZ nur bedingt Sinn macht.

4.) Wie viele Viren haben den von dir genannten Fehler ausgenutzt? Wie hoch war die Verbreitungsrate?

2.) Großartige Erkenntnis. Und jetzt überlegen wir mal, warum man nicht gleich alles installiert, sondern nur grundlegende Sachen.
Es hat schon seinen Grund, warum einige Distris eine Installation für Desktop und Server anbieten.

Ich weiß ziemlich genau, was die Distributionen so vorinstallieren. Darf ich dich einmal daran erinnern, dass bis vor kurzem niemandem aufgefallen ist, dass less jeden Input einmal durch Ghostscript laufen lässt?

Die allermeisten General-Purpose-Distributionen sind sicherheitstechnisch hinter macOS oder Windows. Der Unterschied zu anderen Systemen ist nur, dass man haufenweise interessante Ansätze fahren kann, um die Komponenten nachträglich voneinander zu isolieren. Qubes OS oder Chrome OS spielen vorne mit dabei.

Die Linux-Distributionen profitieren von ihrem Web of Trust für ihre Pakete und haben dadurch real praktisch keine Malware. Exploits in freier Wildbahn sind auch eher selten, einfach weil Patches für das gesamte System bei Linux-Distributionen schnell einspielbar sind. Das ändert aber trotzdem nichts daran, dass die Codequalität durchwachsen ist und haufenweise GNU-Software einfach löchrig wie ein Schweizer Käse ist. Speziell am Desktop beißt dich das. Am Server natürlich eher weniger, weil man da das System besser überblicken kann (weil simpler) und mehr Geld von Unternehmen in die Härtung als bei den typischen Desktop-Distributionen fließt.

Am Ende hast du am Desktop auch immer irgendetwas mit Multimedia. Jeder weiß, dass so Sachen wie Gstreamer und Co. voller Sicherheitslücken sind, die nur darauf warten entdeckt zu werden. Ein Desktop ist einfach durch die Menge an Software schwieriger zu sichern. Ist sicher kein Zufall, dass Google an so etwas wie Crostini arbeitet und Fedora mit Silverblue einfach alle Anwendungen in voneinander isolierte Container packt. Das ist eine legitime Lösung, funktioniert aber auch vollkommen anders als die klassischen Distributionen.

3.) Gerade von dir hätte ich so eine sinnlose Aussage nicht erwartet.
Der Vorteil ist, dass die Lücken schnell gefixt werden. Aus diesem Grund hab ich oben geschrieben, dass ein Virenscanner auf einem Desktopsystem unter XYZ nur bedingt Sinn macht.

Wie soll ein Antivirenscanner Lücken fixen? Genau das kann er ja nicht. Vielleicht verstehe ich dich da auch komplett falsch, aber ich kann mir absolut nicht vorstellen, was du dir dabei gerade für einen Vorteil vorstellst.

4.) Wie viele Viren haben den von dir genannten Fehler ausgenutzt? Wie hoch war die Verbreitungsrate?

Niemand denkt bei so etwas in individuellen Fehlern. Jeder weiß, dass man Ghostscript und ImageMagick wortwörtlich niemals halbwegs fehlerfrei bekommen wird. Es spielt einfach keine Rolle, wie viele "Viren" solche Fehler ausnutzen. Alleine dass man immer irgendwelche Lücken bei solchen Projekten finden wird, wenn man nur ein bisschen sucht, ist schon problematisch genug.

Das hört sich jetzt negativ an und ich bin mir ziemlich sicher, dass "normale" Anwender keine Probleme haben werden, wenn sie immer nur regelmäßig auf den Update-Button klicken. Dass das überhaupt so einfach und smooth für die gesamte Software funktioniert, ist schon ein enormer Vorteil.

Gegen gezielte Angriffe hilft das nur leider absolut nichts, weil einfach zu viel Software in den Desktop-Distributionen ganz offensichtliche Probleme hat. Dafür braucht man eine strikte Isolation zwischen den Anwendungen wie bei Qubes OS, wenn man eine Linux-Distribution sicher benutzen will. Ohne kann einfach viel zu viel schiefgehen, wenn man wirklich gezielte Angriffe erwartet.

Was hat das speziell mit GNU-Umgebungen zu tun? In zig Firmen und Behörden werden Windows-Anwendungen ebenfalls nicht optimal isoliert etc. sein, und es passiert: meistens gar nichts.

Wenn es zunehmend ein Problem wäre, gäbe es auch zunehmend entsprechende Lösungen. Bzw. gibt es die für kritischere Umgebungen ja ohnehin schon, wie du selbst anmerkst.

Ich finde die Debatte daher recht überflüssig.

Was hat das speziell mit GNU-Umgebungen zu tun? In zig Firmen und Behörden werden Windows-Anwendungen ebenfalls nicht optimal isoliert etc. sein, und es passiert: meistens gar nichts.

Meistens ja, aber trotzdem öfter als es sein müsste. Wobei sich das in Unternehmen und Behörden wahrscheinlich in Zukunft schon alleine dadurch erledigen wird, dass immer mehr Software ins Web wandert und da durch die Browser eine gewisse Isolierung gegeben ist. Das darunterliegende System wird immer weniger relevant.

Wenn es zunehmend ein Problem wäre, gäbe es auch zunehmend entsprechende Lösungen. Bzw. gibt es die für kritischere Umgebungen ja ohnehin schon, wie du selbst anmerkst.

Klar, ich finde es nur ein bisschen irreführend das als großen Vorteil normaler Linux-Distributionen zu sehen.

Nur um das einmal zu verdeutlichen: Keine der gehärteten Linux-Distributionen benutzt die typische GNU-Umgebung für das Basissystem. Ein Chrome OS verbannt alle unsichere Software in eine eigene VM und containerisiert die Anwendungen, ein Alpine liefert einfach stattdessen erst gar keine GNU-Umgebung aus und linkt Programme gegen vollkommen andere Libraries als "normale" Distributionen.

Die Antworten auf die Frage, ob man ein AV-Programm braucht oder nicht, sind in dem Kontext komplett irreführend, weil viele Leute denken, dass das etwas über den allgemeinen Stand der Sicherheit des Systems aussagt. Du brauchst bei vielen Systemen kein AV-Programm und kannst trotzdem verglichen mit modernen Systemen relativ unsicher unterwegs sein, so seltsam das auch klingt. AV-Programme laufen im besten Fall vollkommen orthogonal zur restlichen Sicherheit.

Letztendlich spielt das aber auch keine Rolle, weil weder der Mossad noch die NSA hinter Rampage 2 her sind.

Wie soll ein Antivirenscanner Lücken fixen? Genau das kann er ja nicht. Vielleicht verstehe ich dich da auch komplett falsch, aber ich kann mir absolut nicht vorstellen, was du dir dabei gerade für einen Vorteil vorstellst.

Niemand denkt bei so etwas in individuellen Fehlern. Jeder weiß, dass man Ghostscript und ImageMagick wortwörtlich niemals halbwegs fehlerfrei bekommen wird. Es spielt einfach keine Rolle, wie viele "Viren" solche Fehler ausnutzen. Alleine dass man immer irgendwelche Lücken bei solchen Projekten finden wird, wenn man nur ein bisschen sucht, ist schon problematisch genug.

Das hört sich jetzt negativ an und ich bin mir ziemlich sicher, dass "normale" Anwender keine Probleme haben werden, wenn sie immer nur regelmäßig auf den Update-Button klicken. Dass das überhaupt so einfach und smooth für die gesamte Software funktioniert, ist schon ein enormer Vorteil.

Gegen gezielte Angriffe hilft das nur leider absolut nichts, weil einfach zu viel Software in den Desktop-Distributionen ganz offensichtliche Probleme hat. Dafür braucht man eine strikte Isolation zwischen den Anwendungen wie bei Qubes OS, wenn man eine Linux-Distribution sicher benutzen will. Ohne kann einfach viel zu viel schiefgehen, wenn man wirklich gezielte Angriffe erwartet.Virenscanner sind dafür da, um Viren/ Malware/ Schädlinge am Eindringen in Systeme zu behindern. Dafür müssen sie die Sicherheitslücken kennen, um darauf reagieren zu können. Dann können Sie Schädlinge daran hindern einzudringen bzw. sich zu installieren.
Im Normalfall kommen die Fixes von den Herstellern, in der Vergangenheit gab es unter Windows aber auch schon andere Beispiele. Ein Virus deinstalliert einen anderen, installierte Updates, um sich danach selber zu deinstallieren.

Normalerweise melden sich die Systeme selber, wenn Updates vorhanden sind. Deshalb ist es für den Anwender auch nicht mehr schwer, irgendwas zu klicken. Windows installiert zum Beispiel standardmäßig einfach alle Updates und informiert den Anwender beim Abmelden darüber.

In Anbetracht der Lage, dass kaum Schädlinge für Linux auftauchen, sind gezielte Angriffe für kleine Firmen/ Privatpersonen nicht ernsthaft zu erwarten.Nur um das einmal zu verdeutlichen: Keine der gehärteten Linux-Distributionen benutzt die typische GNU-Umgebung für das Basissystem. Ein Chrome OS verbannt alle unsichere Software in eine eigene VM und containerisiert die Anwendungen, ein Alpine liefert einfach stattdessen erst gar keine GNU-Umgebung aus und linkt Programme gegen vollkommen andere Libraries als "normale" Distributionen.

Die Antworten auf die Frage, ob man ein AV-Programm braucht oder nicht, sind in dem Kontext komplett irreführend, weil viele Leute denken, dass das etwas über den allgemeinen Stand der Sicherheit des Systems aussagt. Du brauchst bei vielen Systemen kein AV-Programm und kannst trotzdem verglichen mit modernen Systemen relativ unsicher unterwegs sein, so seltsam das auch klingt. AV-Programme laufen im besten Fall vollkommen orthogonal zur restlichen Sicherheit.

Letztendlich spielt das aber auch keine Rolle, weil weder der Mossad noch die NSA hinter Rampage 2 her sind.Auch Alpine hat ein paar Sicherheitsprobleme in den letzten Jahren.

Das kommt aber davon, wenn man die einfache Frage nach Viren und Verbreitung ignoriert bzw. nicht versteht.
Sicherheitslücke unter Windows wird mit größter Wahrscheinlichkeit durch Schädlinge ausgenutzt => Virenscanner muss installiert sein, weil die Anwender nicht vorsichtig genug sein können.
Gleiche Aussage von oben: Wenn keine Schädlinge für Linux programmiert werden ...

Edit: Hier für dich nochmal. Vielleicht verstehst du es dann besser (von Nov 2017): https://www.heise.de/tipps-tricks/Virenschutz-unter-Linux-3885535.html

Virenscanner sind dafür da, um Viren/ Malware/ Schädlinge am Eindringen in Systeme zu behindern. Dafür müssen sie die Sicherheitslücken kennen, um darauf reagieren zu können. Dann können Sie Schädlinge daran hindern einzudringen bzw. sich zu installieren.

Antivirenscanner kennen Signaturen und versuchen vielleicht das Verhalten von Programmen zu analysieren. Sicherheitslücken "kennt" kein Antivirenscanner in dem Sinne, wie du das meinst.

[...] In Anbetracht der Lage, dass kaum Schädlinge für Linux auftauchen, sind gezielte Angriffe für kleine Firmen/ Privatpersonen nicht ernsthaft zu erwarten.Auch Alpine hat ein paar Sicherheitsprobleme in den letzten Jahren.

Jede Software hat irgendwann Sicherheitsprobleme, weil es keine fehlerlose Software geben kann. Sich an Anekdoten festzuklammern anstatt ganze Klassen von Sicherheitslücken abzumildern oder gar ganz auszuschließen ist da sicher nicht hilfreich. Niemand misst heute die Sicherheit von Systemen anhand von einzelnen Sicherheitslücken.

Das kommt aber davon, wenn man die einfache Frage nach Viren und Verbreitung ignoriert bzw. nicht versteht.
Sicherheitslücke unter Windows wird mit größter Wahrscheinlichkeit durch Schädlinge ausgenutzt => Virenscanner muss installiert sein, weil die Anwender nicht vorsichtig genug sein können.

Wenn mein Windows eine offene Sicherheitslücke hat, für die kein zeitnaher Patch geliefert wird, wird gerade kein Antivirenscanner helfen. Es ist wortwörtlich unmöglich zuverlässige Checks zu bauen, die das Verhalten aller möglichen Programme erkennen, welche die jeweilige Sicherheitslücke ausnutzen. So etwas lohnt sich höchstens für Hardware-Fehler wie Rowhammer. Kein Antivirusprogramm bringt solche Checks gegen Exploits selbst für populäre Software oder gar Lücken im Betriebssystem mit. Wozu auch? Es ist unzuverlässig und lohnt sich einfach nicht, wenn man das OS selbst patchen kann.

Nach deiner Logik versucht übrigens das Apache OpenOffice einen Exploit gegen ihre Software zu vertuschen, weil sie keine Ressourcen haben die Lücke zu fixen: https://twitter.com/hanno/status/1101434519935160320

Aus offensichtlichen Gründen funktioniert das für sie nicht besonders gut.

Edit: Hier für dich nochmal. Vielleicht verstehst du es dann besser (von Nov 2017): https://www.heise.de/tipps-tricks/Virenschutz-unter-Linux-3885535.html

Was genau soll mir das sagen? Kannst du in eigenen Worten erklären, welche Erkenntnis man aus dem Artikel mitnehmen soll?

Antivirenscanner kennen Signaturen und versuchen vielleicht das Verhalten von Programmen zu analysieren. Sicherheitslücken "kennt" kein Antivirenscanner in dem Sinne, wie du das meinst.Du hast gerade selber beantwortet, wie ein Virenscanner versucht bzw. versuchen kann Sicherlücken zu erkennen.
Wenn für ein Angriff ein bestimmtes Muster (Binärkette) benutzt werden muss, wird man das dem Virenscanner beibringen. Wie, sei mal dahingestellt.
Jede Software hat irgendwann Sicherheitsprobleme, weil es keine fehlerlose Software geben kann. Sich an Anekdoten festzuklammern anstatt ganze Klassen von Sicherheitslücken abzumildern oder gar ganz auszuschließen ist da sicher nicht hilfreich. Niemand misst heute die Sicherheit von Systemen anhand von einzelnen Sicherheitslücken.Junge. Verbreitung von Viren. Sach, willst du mich nur verarschen oder bist du nicht mehr in der Lage einfache Sachen zu googlen.
https://winfuture.de/news,98435.html Von 2016 Weil du wahrscheinlich den Link im Artikel nicht findest:
https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2016-2017.pdf
Ich müsste jetzt noch ein Screenshot von Seite 2 unten anfertigen, in der Hoffnung, dass du endlich mal kapierst, was ich schreibe. Aber wer in so kleinen Maßstäben denkt, den kann man nicht helfen.
Wenn mein Windows eine offene Sicherheitslücke hat, für die kein zeitnaher Patch geliefert wird, wird gerade kein Antivirenscanner helfen.Doch. Nachdem in der Wildnis ein paar Muster gefunden wurden, bekommen die Virenscanner ein Update und erkennen es. Der Vorgang hängt von der Verbreitung des Virus ab und welche Methoden die Virenscanner einsetzen.

Irgendwie scheinst du den Sinn vom Virenscanner zu verdrehen oder nicht zu verstehen.

Nach deiner Logik versucht übrigens das Apache OpenOffice einen Exploit gegen ihre Software zu vertuschen, weil sie keine Ressourcen haben die Lücke zu fixen: https://twitter.com/hanno/status/1101434519935160320
Liest du auch, was du postest?
including a hillarious one where OO recommended that AV apps could add detection for exploits for a vuln they were unable to fix for months.
Das würde ja bedeuten, dass AV entgegen deiner Aussage helfen würden.
Was genau soll mir das sagen? Kannst du in eigenen Worten erklären, welche Erkenntnis man aus dem Artikel mitnehmen soll?Das ich keine Ahnung habe, was für eine Diskussion du überhaupt hier führen willst. Dauernd widersprichst du mir, nur um dann doch wieder das zu schreiben, was ich bereits geschrieben hatte.

Das einzige, was ich sehe, ist, dass du dich nur auf die eingerichtet Sicherheitsmaßnahmen verlassen willst und gut ist. Nach dem Motto: Virenscanner braucht man nicht. Da sind schon andere Sicherheitsmaßnahmen aktiv, die alles verhindern.

Das dauernd diese Schutzmaßnahmen umgangen werden, scheints du einfach nicht zu verstehen. Das muss vom OS signtiert sein (Bullshit. Das hat bei Win nicht geklappt und klappt woanders auch nicht) und noch anderes (genau, darum hat es seit der Sicherheitsmaßnahmen von XP SP2 auch keine neue Viren mehr gegeben. Das hat man alles der Datenausführungsverhinderung zu verdanken. https://kc.mcafee.com/corporate/index?page=content&id=KB58554&locale=de_DE&viewlocale=de_DE :ugly: ).

Sag bescheid, wenn du in der Realität angekommen bist, dass es keine 100% Sicherheit gibt und AVs dafür dienen, Security Probleme zu beheben.

Sorry, aber er hat Recht. AVs sind im Kern einfach nur eine Binary Pattern-Blacklist, und die ist prinzipiell in ihrer Schutzwirkung unzuverlässig.

Man muss einfach mit der Rest-Unsicherheit leben können. Unter Windows installiert man sich ja auch ständig irgendwelche Blackboxen von Entwicklern, deren Sauberspielen man auf Gedeih und Verderb ausgeliefert ist.

Du hast gerade selber beantwortet, wie ein Virenscanner versucht bzw. versuchen kann Sicherlücken zu erkennen.
Wenn für ein Angriff ein bestimmtes Muster (Binärkette) benutzt werden muss, wird man das dem Virenscanner beibringen. Wie, sei mal dahingestellt.

Und genau das ist das Problem. Du kannst nicht zuverlässig das Verhalten von Programmen analysieren. Die Hersteller von Antivirenscannern versuchen natürlich das unter den Tisch zu kehren, aber es ist ein hartes Problem, das sehr wahrscheinlich niemals gelöst wird: https://de.wikipedia.org/wiki/Satz_von_Rice

Unsere Rechner sind keine Turingmaschinen, aber das macht die Sache nicht weniger fehleranfällig.

Doch. Nachdem in der Wildnis ein paar Muster gefunden wurden, bekommen die Virenscanner ein Update und erkennen es.

Und genau am letzten Punkt scheitern alle. Kein Antivirenscanner kann das Verhalten von Programmen zuverlässig analysieren und entscheiden. Es ist wortwörtlich unentscheidbar. Das ist kein technisches Versagen (wobei viele AV-Scanner auch softwaretechnisch problematisch sind), sondern es ist einfach so, dass es ein nach aktuellem Stand unlösbares Problem ist. Es ist ein so hartes, zugrunde liegendes Problem, dass es als besonders elegant erachtet wird, andere Probleme auf dieses Problem zu reduzieren, weil man sich sicher ist, dass es niemals gelöst werden kann.

Das wird dir in den Marketing-Broschüren der AV-Programme natürlich niemand unter die Nase reiben.

Irgendwie scheinst du den Sinn vom Virenscanner zu verdrehen oder nicht zu verstehen.
Liest du auch, was du postest?
including a hillarious one where OO recommended that AV apps could add detection for exploits for a vuln they were unable to fix for months.
Das würde ja bedeuten, dass AV entgegen deiner Aussage helfen würden.
Das ich keine Ahnung habe, was für eine Diskussion du überhaupt hier führen willst. Dauernd widersprichst du mir, nur um dann doch wieder das zu schreiben, was ich bereits geschrieben hatte.

Jeder weiß, dass die AV-Hersteller eben nicht einfach einen "Check" gegen diesen Exploit einbauen können. Genau das, was du als Lösung siehst, funktioniert einfach nicht.

Das einzige, was ich sehe, ist, dass du dich nur auf die eingerichtet Sicherheitsmaßnahmen verlassen willst und gut ist. Nach dem Motto: Virenscanner braucht man nicht. Da sind schon andere Sicherheitsmaßnahmen aktiv, die alles verhindern.

Es ist nicht so, dass man Virenscanner nicht braucht. Sie liefern dir nur keine zuverlässigen Sicherheitsgarantien.

Das dauernd diese Schutzmaßnahmen umgangen werden, scheints du einfach nicht zu verstehen. Das muss vom OS signtiert sein (Bullshit. Das hat bei Win nicht geklappt und klappt woanders auch nicht) und noch anderes (genau, darum hat es seit der Sicherheitsmaßnahmen von XP SP2 auch keine neue Viren mehr gegeben. Das hat man alles der Datenausführungsverhinderung zu verdanken. https://kc.mcafee.com/corporate/index?page=content&id=KB58554&locale=de_DE&viewlocale=de_DE :ugly: ).

Sag bescheid, wenn du in der Realität angekommen bist, dass es keine 100% Sicherheit gibt und AVs dafür dienen, Security Probleme zu beheben.

Programme und Code von einer Partei signieren zu lassen, der man traut, löst keine Sicherheitsprobleme, sondern invertiert das Problem. Anstatt alle schädlichen Programme zu blacklisten (von denen es abzählbar oder überabzählbar unendlich viele für jedes einzelne Problem gibt, ich bin mir gerade nicht sicher), kann man einfach das Vertrauen bestimmten Entwicklern entziehen. Auf einmal hat man ein sehr viel simpleres Problem. Es ist nicht perfekt, aber es ist bedeutend besser als alles mit AV-Scannern erschlagen zu wollen.

Letztendlich machen Linux-Distributionen nichts anderes: Sie haben ein Web of Trust mit GPG gebaut. Man traut Leuten (den Maintainern der Software), dass sie als Mittelmann zwischen dem Entwickler der Software und den Nutzern ein unschädliches Paket aus der jeweiligen Software bauen.

Du verwechselst übrigens hier regelmäßig Viren mit Sicherheitslücken und vermischst Probleme.

Sorry, aber er hat Recht. AVs sind im Kern einfach nur eine Binary Pattern-Blacklist, und die ist prinzipiell in ihrer Schutzwirkung unzuverlässig.

Man muss einfach mit der Rest-Unsicherheit leben können. Unter Windows installiert man sich ja auch ständig irgendwelche Blackboxen von Entwicklern, deren Sauberspielen man auf Gedeih und Verderb ausgeliefert ist.AVs sind Bestandteil eines Sicherheitskonzepts.

Schon mal einen Mailserver administriert? Viel Spaß beim Rausfiltern vom Spam und Viren. Da setzt man min. Clam AV ein. Wie würdest du es ohne Virenscanner machen?

Genau aus diesem Grund hab ich den Heise Link gepostet. Es geht eben darum die Sicherheit etwas zu erhöhen. Dafür sind die da und je nach Auswahl des AVs funktioniert es auch.

Viel Spaß beim Rausfiltern vom Spam und Viren. Da setzt man min. Clam AV ein. Wie würdest du es ohne Virenscanner machen?

Meine Mails nur am Chromebook lesen.

Schon mal einen Mailserver administriert? Viel Spaß beim Rausfiltern vom Spam und Viren. Da setzt man min. Clam AV ein. Wie würdest du es ohne Virenscanner machen?

Bei diesem speziellen Einsatzgebiet macht ein AV schon Sinn, ja. Aber es ist halt nur ein kleines Mosaikstückchen. Exploits in aktueller Open Source Email-Software sind kein populärer Angriffsvektor und bei Anhängen ist ohnehin Vorsicht geboten.

Und genau das ist das Problem. Du kannst nicht zuverlässig das Verhalten von Programmen analysieren. Die Hersteller von Antivirenscannern versuchen natürlich das zu unter den Tisch zu kehren, aber es ist ein hartes Problem, das sehr wahrscheinlich niemals gelöst wird: https://de.wikipedia.org/wiki/Satz_von_RiceUnsere Rechner sind keine Turingmaschinen, aber das macht die Sache nicht weniger fehleranfällig.[/QUOTE]Ehrlich gesagt, frage ich mich gerade, wo du deinen Verstand verloren hast. Kannst auch gleich ankommen mit PI. Und was hat das mit der Erkennung von Schädlingen zu tun?
Du solltest dich eher mit praktischen Sachen wie Bayes Filter beschäftigen: https://de.wikipedia.org/wiki/Bayesscher_Filter (nicht so interessant)
https://de.wikipedia.org/wiki/Bayes_Spamfilter führt zu:
https://de.wikipedia.org/wiki/Satz_von_Bayes <-- dürfte dir am besten gefallen
Und genau am letzten Punkt scheitern alle. Kein Antivirenscanner kann das Verhalten von Programmen zuverlässig analysieren und entscheiden. Es ist wortwörtlich unentscheidbar. Das ist kein technisches Versagen, sondern es ist einfach so, dass es ein nach aktuellem Stand unlösbares Problem ist. Es ist ein so hartes, zugrundelegendes Problem, dass es als besonders elegant erachtet wird, andere Probleme auf dieses Problem zu reduzieren, weil man sich sicher ist, dass es niemals gelöst werden kann.

Das wird dir in den Marketing-Broschüren der AV-Programme natürlich niemand unter die Nase reiben.Dafür sind Kriterien definiert, damit die Programme es entscheiden können. Die Kriterien erlauben einen gewissen Spielraum, um sicher zu gehen, dass die Systeme fehlerfrei weiterarbeiten.
Dass es immer wieder zu Problemen kommt, liegt eben daran, dass einige Sachen noch angepasst werden können/ müssen.
itsmaßnahmen zu umgehen.Jeder weiß, dass die AV-Hersteller eben nicht einfach einen "Check" gegen diesen Exploit einbauen können. Genau das, was du als Lösung siehst, funktioniert einfach nicht.Hast du mehr Infos zu dieser Lücke? Wenn es einen Exploit gibt, kann dagegen was von AVs gemacht werden. Frage ist dabei, ob die normale Funktionalität im Allgemeinen danach eingeschränkt wird oder der Aufruf im Alltag benutzt wird.Es ist nicht so, dass man Virenscanner nicht braucht. Sie liefern dir nur keine zuverlässigen Sicherheitsgarantien.Das schreibe ich schon seit laaaaanger Zeit unter Windows. Ebensowenig schreibe ich, dass andere Sicherheitsmaßnahmen einen 100% schützen, was du wiederum machst. Dabei hab ich dir gleich gezeigt, dass diese umgangen wurden.Programme und Code von einer Partei signieren zu lassen, der man traut, löst keine Sicherheitsprobleme, sondern invertiert das Problem. Anstatt alle schädlichen Programme zu blacklisten (von denen es abzählbar oder überabzählbar unendlich viele für jedes einzelne Problem gibt, ich bin mir gerade nicht sicher), kann man einfach das Vertrauen bestimmten Entwicklern entziehen. Auf einmal hat man ein sehr viel simpleres Problem.Was machst du eigentlich beruflich? Mit praktischer IT hat es definitiv nichts zu tun.

Ich hol nochmal deinen Satz von der letzten Seite hervor:
macOS kann man standardmäßig seit einigen Jahren gar keine unsignierte Software mehr installieren.

Das es trotzdem geht, zeigen die roten Dinger auf der einen Sicherheitsseite.
Unter Windows gibt es sowas auch. Wurde schon vor einiger Zeit gehackt.
https://www.computerwoche.de/a/malware-verstecken-in-signierten-windows-dateien,3315703

Warum du dich schon wieder darauf berufst nach dem Motto "Alles sicher, weil ist signiert" erschließt sich mir nicht.

Virenscanner sind dafür da, um Viren/ Malware/ Schädlinge am Eindringen in Systeme zu behindern.
Durch Virenscanner wird das System unsicherer, da diese selber ein Einfallstor darstellen und/oder nicht vertrauenswürdig sind. Schau mal was Security Profis so sagen oder herausgefunden haben. Bei Windows kann man ja durchaus darüber diskutieren. Aber bei macOS und Linux verschlimmbessert Mama nur alles ohne echten Grund mit dem Zeug.

Meine Mails nur am Chromebook lesen.Bei diesem speziellen Einsatzgebiet macht ein AV schon Sinn, ja. Aber es ist halt nur ein kleines Mosaikstückchen. Exploits in aktueller Open Source Email-Software sind kein populärer Angriffsvektor und bei Anhängen ist ohnehin Vorsicht geboten.Entweder ist das Bildungsniveau von praktischer Anwendung sehr niedrig oder die Aufgabe des Mailservers ist nicht ganz verstanden worden.

Lumines liest sämtliche Mails der Firma an seinem Chromebook, um Spam und Viren zu filtern. Nein, nicht nur deine eigenen. Ein Mailserver nimmt für die Domäne die Mails entgegen und da darfst du gerne von Hand Spam und Schädlinge rausfiltern. Mailserver administrieren. Für eine Firma und nicht den eigenen, wo nur die eigene Mailadresse drinne liegt.

Anhänge mit doppelten Dateiendungen werden von guten Virenscanner anhand von Kriterien automatisch rausgefiltert. Mailscanner filtert zum Beispiel alles raus, während Avira auf dem Client nur die Sachen blockiert, die ausführbar sind.

Bei anderen Anhängen gibt es immernoch genug Leute, die drauf klicken. Hier kann ein AV schützen.

Durch Virenscanner wird das System unsicherer, da diese selber ein Einfallstor darstellen und/oder nicht vertrauenswürdig sind. Schau mal was Security Profis so sagen oder herausgefunden haben. Bei Windows kann man ja durchaus darüber diskutieren. Aber bei macOS und Linux verschlimmbessert Mama nur alles ohne echten Grund mit dem Zeug.Auch mal einen Link zu diesen Sicherheitsexperten?

Kleiner Tipp: Sämtliche Sicherheitssysteme hatten in der Vergangenheit irgendwelche Sicherheitsprobleme. Router, Linux Kernel selber usw. usf.
Und nun? Alles entsorgen? Weil alles Snakeoil?

Kann mich an eine Diskussion hier im Forum erinnern, wo es um eine kostenlose FW ging.
Im Artikel stellte sich heraus, dass da die Rede von der kommerziellen Variante war und die Lücke definitiv nicht in der kostenlose vorhanden war. Wenn solche Sachen schon durcheinander gebracht werden, sind Diskussionen besonders sinnvoll.

Gleiche Frage: Als was arbeitest du, Gast?

Antiviren-Software als Einfallstor
https://www.heise.de/security/artikel/Antiviren-Software-als-Einfallstor-270932.html

Ehrlich gesagt, frage ich mich gerade, wo du deinen Verstand verloren hast. Kannst auch gleich ankommen mit PI. Und was hat das mit der Erkennung von Schädlingen zu tun?

Zufällig eine ganze Menge. Ist auch kein Geheimnis.

Du solltest dich eher mit praktischen Sachen wie Bayes Filter beschäftigen: https://de.wikipedia.org/wiki/Bayesscher_Filter (nicht so interessant)
https://de.wikipedia.org/wiki/Bayes_Spamfilter führt zu:
https://de.wikipedia.org/wiki/Satz_von_Bayes <-- dürfte dir am besten gefallen

Ja, so filtert man Spam. Hat nur nichts damit zu tun, wie man das Verhalten von Programmen analysiert.

Dafür sind Kriterien definiert, damit die Programme es entscheiden können.

Kein Programm kann es entscheiden, weil es wortwörtlich ein unentscheidbares Problem ist. Es gibt haufenweise Literatur und Beweise dazu, die am Ende alle immer wieder auf das Halteproblem reduziert werden.

Niemand hindert dich daran es trotzdem zu versuchen, du wirst nur niemals zuverlässige Ergebnisse bekommen. Das ist der entscheidende Punkt.

Hast du mehr Infos zu dieser Lücke? Wenn es einen Exploit gibt, kann dagegen was von AVs gemacht werden. Frage ist dabei, ob die normale Funktionalität im Allgemeinen danach eingeschränkt wird oder der Aufruf im Alltag benutzt wird.

Ich habe keine weiteren Infos dazu. Ich gucke mir das nur mit einer Packung Popcorn in der Hand an.

Das schreibe ich schon seit laaaaanger Zeit unter Windows. Ebensowenig schreibe ich, dass andere Sicherheitsmaßnahmen einen 100% schützen, was du wiederum machst. Dabei hab ich dir gleich gezeigt, dass diese umgangen wurden.

Ich behaupte das nicht. Ich behaupte nur, dass man seine Zeit sinnvoller verbringen kann als zu versuchen unentscheidbare Probleme zu lösen.

Was machst du eigentlich beruflich? Mit praktischer IT hat es definitiv nichts zu tun.

Ich sag mal so, ich betreue eine dreistellige Anzahl Linux-Server. Ab einer bestimmten Größenordnung kommt man mit Praxis leider nicht mehr aus.

Ich hol nochmal deinen Satz von der letzten Seite hervor:
macOS kann man standardmäßig seit einigen Jahren gar keine unsignierte Software mehr installieren.

Das es trotzdem geht, zeigen die roten Dinger auf der einen Sicherheitsseite.
Unter Windows gibt es sowas auch. Wurde schon vor einiger Zeit gehackt.
https://www.computerwoche.de/a/malware-verstecken-in-signierten-windows-dateien,3315703

Warum du dich schon wieder darauf berufst nach dem Motto "Alles sicher, weil ist signiert" erschließt sich mir nicht.

Irgendwie scheinst du solche Probleme nicht differenziert betrachten zu können. Signaturen zu checken ist das simplere Problem als das Verhalten von Programmen zu analysieren. Viel mehr gibt es dazu auch nicht zu sagen. Niemand behauptet, dass es fehlerlos ist. Eine PKI will auch erst einmal aufgezogen werden und die Implementierung kann Fehler haben. Gerade bei macOS und Windows ist das ein langwieriger Prozess, weil sie eben einmal anders funktioniert haben. Trotzdem funktioniert es schon heute ziemlich gut.

How Antivirus Software Can Be Turned Into a Tool for Spying
https://www.nytimes.com/2018/01/01/technology/kaspersky-lab-antivirus.html

All Your Docs Are Belong To Us
reversing an av engine to compose signatures capable of detecting classified documents
https://objective-see.com/blog/blog_0x22.html

The Adventures of AV and the Leaky Sandbox
https://www.blackhat.com/us-17/briefings.html#the-adventures-of-av-and-the-leaky-sandbox

Daten über die Antiviren-Cloud herausschmuggeln
https://www.golem.de/news/sandbox-leak-daten-ueber-die-antiviren-cloud-herausschmuggeln-1707-129188.html

Cloud-Antivirensoftware hilft beim Datenklau aus luftdichten Netzwerken
https://www.heise.de/security/meldung/Cloud-Antivirensoftware-hilft-beim-Datenklau-aus-luftdichten-Netzwerken-3786507.html

"Entdeckt hatte die Lücke der Sicherheitsdienstleister n.runs, der bereits in der Vergangenheit mehrfach auf Sicherheitslücken in Virenscannern hinwies. Der Hintergrundartikel "Antiviren-Software als Einfallstor" auf heise Security zeigt die möglichen Gefahren von Antivirensoftware auf."
https://www.heise.de/security/meldung/F-Secure-patcht-Schwachstelle-in-seinen-Antivirenprodukten-179596.html

Notfall-Patch für Windows & Co.: Kritische Sicherheitslücke im Virenscanner von Microsoft
https://www.heise.de/security/meldung/Notfall-Patch-fuer-Windows-Co-Kritische-Sicherheitsluecke-im-Virenscanner-von-Microsoft-3913800.html

Bitdefender: Remote Stack Buffer Overflow via 7z PPMD
https://landave.io/2017/07/bitdefender-remote-stack-buffer-overflow-via-7z-ppmd/

No big deal. You can defeat Kaspersky's ATM antivirus with a really fat executable
After you've gained arbitrary execution on the cash machine, natch
https://www.theregister.co.uk/2017/07/13/kaspersky_lab_atm_security_vuln/

"Die Fehlerursache für einen nicht startenden Browser kann eine Sicherheitssoftware von Comodo sein."
https://www.golem.de/news/windows-10-update-kb4022716-kann-probleme-machen-1707-128704.html

Comodo: Comodo Internet Security installs and starts a VNC server by default
https://bugs.chromium.org/p/project-zero/issues/detail?id=703&redir=1

Avast Antivirus: Remote Stack Buffer Overflow with Magic Numbers
https://landave.io/2017/06/avast-antivirus-remote-stack-buffer-overflow-with-magic-numbers/

Erneut kritische Lücke in Windows Defender & Co
https://www.heise.de/security/meldung/Erneut-kritische-Luecke-in-Windows-Defender-Co-3756013.html

Days after @FSecure announced they acquired security app Little Flocker, it starts phoning home. Over insecure HTTP
https://twitter.com/koenrh/status/851170375899783168

TrendMicro node.js HTTP server listening on localhost can execute commands
https://bugs.chromium.org/p/project-zero/issues/detail?id=693&redir=1

What the CIA thinks of your anti-virus program
https://apnews.com/53d65013e05142bc8211dd6f1a6558dd/what-cia-thinks-your-antivirus-program

Mac-AV-Software ermöglichte Einschleusen von Schadcode
https://www.heise.de/mac-and-i/meldung/Mac-AV-Software-ermoeglichte-Einschleusen-von-Schadcode-3638786.html

The Security Impact of HTTPS Interception
"As HTTPS deployment grows, middlebox and antivirus products are increasingly intercepting TLS connections to retain visibility into network traffic."
https://jhalderm.com/pub/papers/interception-ndss17.pdf

Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS“
https://www.heise.de/security/meldung/Sicherheitsforscher-an-AV-Hersteller-Finger-weg-von-HTTPS-3620159.html

Vulnerability Spotlight - McAfee ePolicy Orchestrator DataChannel Blind SQL Injection Vulnerability
http://blog.talosintelligence.com/2017/02/vulnerability-spotlight-mcafee-epolicy.html

Disable Your Antivirus Software (Except Microsoft’s)
http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html

Frühjahrsputz-Patchday: Microsoft dichtet Windows-Defender ab
https://www.heise.de/security/meldung/Fruehjahrsputz-Patchday-Microsoft-dichtet-Windows-Defender-ab-1835586.html

Antivirensoftware: Die Schlangenöl-Branch
https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html

Antivirensoftware: Die Schlangenöl-Branche
https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html

Kaspersky torpediert SSL-Zertifikatsprüfung
https://www.heise.de/security/meldung/Kaspersky-torpediert-SSL-Zertifikatspruefung-3587871.html

P0wnographer finds remote code exec bug in McAfee enterprise
http://www.theregister.co.uk/2016/12/13/boffin_dishes_10_mcafee_enterprise_bugs_for_chained_rce_root_death/

Symantec: PowerPoint misaligned stream-cache remote stack buffer overflow CVE-2016-2209
https://bugs.chromium.org/p/project-zero/issues/detail?id=823

Virenscanner infiziert Systeme mit Sality-Virus
https://www.heise.de/security/meldung/Virenscanner-infiziert-Systeme-mit-Sality-Virus-3237654.html

(In-) Security of Security Applications
https://www.sit.fraunhofer.de/fileadmin/dokumente/Presse/teamsik_advisories_AV.pdf?_=1464692835

Symantec/Norton Antivirus ASPack Remote Heap/Pool memory corruption Vulnerability CVE-2016-2208
https://bugs.chromium.org/p/project-zero/issues/detail?id=820

TrendMicro: A remote debugger stub is listening in default install
https://bugs.chromium.org/p/project-zero/issues/detail?id=773

Comodo: Comodo Antivirus Forwards Emulated API calls to the Real API during scans
https://bugs.chromium.org/p/project-zero/issues/detail?id=769

Krypto-Trojaner Locky: Batch-Dateien infizieren Windows, Tool verspricht Schutz
https://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Batch-Dateien-infizieren-Windows-Tool-verspricht-Schutz-3118188.html

Avast SafeZone Browser Lets Attackers Access Your Filesystem
http://news.softpedia.com/news/avast-safezone-browser-lets-attackers-access-your-filesystem-499990.shtml

DoD data (cleared for release) shows on average 1/3 of vulns in government systems is in the security software.
https://twitter.com/dotMudge/status/642758829697056768

"Müll": Google-Sicherheitsforscher zerlegt AVG-Chrome-Erweiterung
http://winfuture.de/news,90420.html

Authentifikation von McAfees Enterprise Security Manager löchrig
https://www.heise.de/security/meldung/Authentifikation-von-McAfees-Enterprise-Security-Manager-loechrig-3036068.html

I stopped using an antivirus a long time ago
http://blog.drsolly.com/2014/05/symantec-claims-that-their-antivirus-is.html

Anti-virus pioneer Alan Solomon thinks anti-virus is dead. He uses Linux instead
https://www.techworld.com/security/antivirus-pioneer-alan-solomon-thinks-antivirus-is-dead-he-uses-linux-instead-3537985/

Kein Programm kann es entscheiden, weil es wortwörtlich ein unentscheidbares Problem ist. Es gibt haufenweise Literatur und Beweise dazu, die am Ende alle immer wieder auf das Halteproblem reduziert werden.Ich bin mir nicht sicher, worauf du hinaus willst. Es macht für mich keinen praktischen Sinn.
Deiner Aussage nach müssten AV und IDS Programme enlos laufen in einer Dauerschleife. Dies ist nicht der Fall.

https://de.wikipedia.org/wiki/Satz_von_Rice
Für spezielle Klassen von Algorithmen ist es zwar möglich – auch automatisiert – einzelne Eigenschaften nachzuweisen. Es gibt jedoch kein allgemeines Verfahren, das für jeden Algorithmus feststellen kann, ob die von ihm beschriebene Funktion ein gewünschtes, in einer üblichen formalen Sprache gegebenes Verhalten zeigt.

Erste Dicke: So arbeiten Virenscanner.
Zweite Dicke: So weit ich weiß, haben Virenscanner verschiedene Abbruchkriterien, wovon eine schon die Dateigröße ist. Die Chance, dass jemand einen 50mb großen Virus schickt ist relativ gering. Alleine deshalb wird nicht jeder Algorithmus untersucht.

https://de.wikipedia.org/wiki/Halteproblem
Das Halteproblem beschreibt die Frage, ob die Ausführung eines Algorithmus zu einem Ende gelangt. Obwohl das für viele Algorithmen leicht beantwortet werden kann, konnte der Mathematiker Alan Turing beweisen, dass es keinen Algorithmus gibt, der diese Frage für alle möglichen Algorithmen und beliebige Eingaben beantwortet.

Wenn ich das irgendwie in die Praxis umsetzen soll, fällt mir dazu nur wieder die Sache mit Archiven ein, welche immer wieder entpackt wurden und dabei die HDD vollgemüllt haben.
Gute Programme/ AV brechen sowas nach ein paar Entpackdurchlaufen ab.

Ansonsten führen überlange Eingaben entweder zu Buffer Overflows oder werden verworfen.

Mir fehlt da irgendwie die Praxis, weil das alles theoretische Informatik ist.

How Antivirus Software Can Be Turned Into a Tool for Spying
https://www.nytimes.com/2018/01/01/technology/kaspersky-lab-antivirus.html
Gast, ich wollte gerne was von Sicherheitsexperten lesen, was für und gegen AVs, IDS und ähnliche Sicherheitsmaßnahmen spricht und nicht eine Liste von Sicherheitslücken, wovon die meisten behoben wurden, lesen.

Achso, ganz schrecklich. Wusstet ihr schon, dass in Browserns Sicherheitslücken gefunden wurden? Sollte man nicht mehr einsetzen. Und in Betriebsystemen. Sollte man auch nicht mehr einsetzen.
Komme mir vor wie von Vollprofis umgeben.

Erstmal @ Lo vs lu:
:popcorn:


Frage:
Könnt ihr mir eine Distri empfehlen die möglichst viel Software an Bord hat!? Ist gedacht als Immer-dabei-USB-Keychain-Linux, da habe ich zurzeit noch ein olles Mint 17.3 drauf aber ob die ISO jetzt 3 oder 6 GB große ist spielt ja heute keine Rolle mehr, mein 32GB Stick ist eh nur viertel voll.


MfG
Rooter

Gast, ich wollte gerne was von Sicherheitsexperten lesen, was für und gegen AVs, IDS und ähnliche Sicherheitsmaßnahmen spricht und nicht eine Liste von Sicherheitslücken, wovon die meisten behoben wurden, lesen.
- du musst die Liste richtig anschauen, z.B.
- warum IDS aufeinmal. es geht um Schlangelöl Antivirus
- du hast gar nicht gemerkt, dass du einen Fehler selber schon gefunden hast: Erhöhung der Angriffsfläche.


Achso, ganz schrecklich. Wusstet ihr schon, dass in Browserns Sicherheitslücken gefunden wurden? Sollte man nicht mehr einsetzen. Und in Betriebsystemen. Sollte man auch nicht mehr einsetzen.
Komme mir vor wie von Vollprofis umgeben.
Nur das du das OS und voraussichtlich den Browser ebenfalls benötigst. Das Schlangenöl hingegen nicht.

Mac: Mir fällt kein einziger bekannter Fall ein, bei dem man mit einem Antivirus-Programm besser dagestanden hätte als ohne. Ganz im Gegenteil, völlig unnötiger kram (Status quo) und macht das System nur unsicherer und langsamer.


Btw.
https://blog.fefe.de/?ts=a6015c0e

https://blog.fefe.de/?ts=a7f4c0ac

Du kannst doch jede beliebige Distri nutzen und einfach die Software installieren die du auf dem USB Stick brauchst?

Ich bin mir nicht sicher, worauf du hinaus willst. Es macht für mich keinen praktischen Sinn.
Deiner Aussage nach müssten AV und IDS Programme enlos laufen in einer Dauerschleife. Dies ist nicht der Fall.

Na ja, doch. Sehe ich praktisch täglich. Nicht immer, aber das ist ja genau der Punkt. Man kann sich einfach im Alltag nicht darauf verlassen. Vielleicht hält es, vielleicht auch nicht und ich bin kein bisschen schlauer als vorher.

https://de.wikipedia.org/wiki/Satz_von_Rice
Für spezielle Klassen von Algorithmen ist es zwar möglich – auch automatisiert – einzelne Eigenschaften nachzuweisen. Es gibt jedoch kein allgemeines Verfahren, das für jeden Algorithmus feststellen kann, ob die von ihm beschriebene Funktion ein gewünschtes, in einer üblichen formalen Sprache gegebenes Verhalten zeigt.

Erste Dicke: So arbeiten Virenscanner.

Nein, so arbeiten keine Virenscanner. Wenn die sich nur auf triviale Eigenschaften von Algorithmen beschränken würden, müsstest du bei der meisten Software bei praktisch allem über Hello World aufhören. Und das ist kein Scherz. Aus der englischen Wikipedia als Beispiel:

Rice's theorem generalizes the theorem that the halting problem is unsolvable. It states that for any non-trivial property, there is no general decision procedure that, for all programs, decides whether the partial function implemented by the input program has that property. (A partial function is a function which may not always produce a result, and so is used to model programs, which can either produce results or fail to halt.) For example, the property "halt for the input 0" is undecidable. Here, "non-trivial" means that the set of partial functions that satisfy the property is neither the empty set nor the set of all partial functions. For example, "halts or fails to halt on input 0" is clearly true of all partial functions, so it is a trivial property, and can be decided by an algorithm that simply reports "true."

https://en.wikipedia.org/wiki/Halting_problem#Computability_theory

Man muss kein Genie sein oder ein besonderes Vorwissen haben, um zu sehen, dass man in der Praxis das Verhalten von Programmen und generell den meisten Algorithmen nicht zuverlässig automatisiert analysieren kann.

Zweite Dicke: So weit ich weiß, haben Virenscanner verschiedene Abbruchkriterien, wovon eine schon die Dateigröße ist. Die Chance, dass jemand einen 50mb großen Virus schickt ist relativ gering. Alleine deshalb wird nicht jeder Algorithmus untersucht.

https://de.wikipedia.org/wiki/Halteproblem
Das Halteproblem beschreibt die Frage, ob die Ausführung eines Algorithmus zu einem Ende gelangt. Obwohl das für viele Algorithmen leicht beantwortet werden kann, konnte der Mathematiker Alan Turing beweisen, dass es keinen Algorithmus gibt, der diese Frage für alle möglichen Algorithmen und beliebige Eingaben beantwortet.

Wenn ich das irgendwie in die Praxis umsetzen soll, fällt mir dazu nur wieder die Sache mit Archiven ein, welche immer wieder entpackt wurden und dabei die HDD vollgemüllt haben.
Gute Programme/ AV brechen sowas nach ein paar Entpackdurchlaufen ab.

Man packt Abbruchbedingungen rein, aber das kann immer nur Pi mal Daumen sein. Und letztendlich kann es dann noch immer sein, dass eine Bedingung doch nicht greift und der Scanner einfach ewig rödelt. Es ist einfach nicht zuverlässig. Mehr versuche ich eigentlich auch nicht zu sagen.

Mir fehlt da irgendwie die Praxis, weil das alles theoretische Informatik ist.

In der Praxis sollte man vielleicht einfach (wenn möglich) Probleme meiden, die man schon nicht theoretisch lösen kann.

Frage:
Könnt ihr mir eine Distri empfehlen die möglichst viel Software an Bord hat!? Ist gedacht als Immer-dabei-USB-Keychain-Linux, da habe ich zurzeit noch ein olles Mint 17.3 drauf aber ob die ISO jetzt 3 oder 6 GB große ist spielt ja heute keine Rolle mehr, mein 32GB Stick ist eh nur viertel voll.

Debian hat glaube ich auch ISOs in Blu-ray-Größe

Debian hat glaube ich auch ISOs in Blu-ray-GrößeSind das inoffizielle? Denn bei den Live-Images finde ich nichts großes:
https://cdimage.debian.org/debian-cd/current-live/amd64/iso-hybrid/

MfG
Rooter

Um mal meine Meinung zu Antiviren-Programmen in den Raum zu werfen: Ich betreibe auch ein paar Mailserver und Server allgemein und habe dort ClamAV am Laufen, weil diese in den Mail-Server Paketen halt mit drin und konfiguriert ist. Bei diversen Dateiservern lief/läuft dieser Just-In-Case "check-only" ab und zu mal drüber. Das letztere aber auch nur, weil es so vorgeschrieben ist.

Dieser hat so gut wie noch nie einen Virus, Trojaner oder Ransomware effektiv weggefiltert. Im Gegensatz dazu hatte ClamAV in letzter Zeit genug Lücken, die mit einer entsprechend erstellten E-Mail meinen kompletten Mail-Server hätte kompromittieren können und anschließend ALLE Nutzer des Mailservers in Gefahr gebracht hätte, statt nur einen einzelnen Empfänger.

AV-Programme sorgen meiner Meinung im Allgemeinen eher zu einer falschen Einschätzung von Sicherheit und ich vermute ein System ist wesentlich sicherer, wenn ein Nutzer sich nicht "beschützt" fühlt. Dann lässt er bestimmte Sachen einfach sein. Man hat ja bei Ransomware ja gesehen, wie gut der ganze AV-Apparat so funktioniert hat... gar nicht.

Die vom Gast vorgebrachten Links von fefe (Felix von Leitner, ein Sicherheitsexperte) https://blog.fefe.de/?ts=a6015c0e und https://blog.fefe.de/?ts=a7f4c0ac fassen das Problem ganz gut zusammen.

Bei Tante Emma von nebenan mag ein AV-Programm ja schon mal einen Virus weggefiltert haben, aber global gesehen sind AV Programme schon ein sehr großes Angriffsziel.

- du musst die Liste richtig anschauen, z.B.
- warum IDS aufeinmal. es geht um Schlangelöl Antivirus
- du hast gar nicht gemerkt, dass du einen Fehler selber schon gefunden hast: Erhöhung der Angriffsfläche.

Nur das du das OS und voraussichtlich den Browser ebenfalls benötigst. Das Schlangenöl hingegen nicht.

Mac: Mir fällt kein einziger bekannter Fall ein, bei dem man mit einem Antivirus-Programm besser dagestanden hätte als ohne. Ganz im Gegenteil, völlig unnötiger kram (Status quo) und macht das System nur unsicherer und langsamer.

Btw.
https://blog.fefe.de/?ts=a6015c0e

https://blog.fefe.de/?ts=a7f4c0acDu meinst, ich soll deine Liste jetzt nach einem Artikel durchsuchen? Da du den kennst, kannst du ihn schneller raussuchen.

Aber im OS und Browser sind Sicherheitslücken drinne. Stört in diesem Sinne eine weitere? Wie ist deine Meinung bezüglich Windows und AV?

Mac und Ransomware. https://www.google.com/search?q=mac+ransomware
Übliches Problem, die Schädlinge werden alle paar Tage neu aufgelegt, wodurch der AV sie nicht immer erkennt.

Wie er selber schreibt, die Leute schaffen es immer wieder ihre Systeme zu infizieren. Und die Aussage wegen er hätte keinen PDF Viewer installiert, bezweifle ich etwas. Chrome und FF können seit einiger Zeit PDFs anzeigen.

Der zweite Link zeigt nur das, was ich seit Jahren schreibe. 100% Schutz gibt es nicht. Außerdem reichen die Kostenlosen aus.

AV-Programme sorgen meiner Meinung im Allgemeinen eher zu einer falschen Einschätzung von Sicherheit und ich vermute ein System ist wesentlich sicherer, wenn ein Nutzer sich nicht "beschützt" fühlt. Dann lässt er bestimmte Sachen einfach sein. Man hat ja bei Ransomware ja gesehen, wie gut der ganze AV-Apparat so funktioniert hat... gar nicht.Nein. Der Anwender klickt so oder so drauf. Egal, ob da ein Virenscanner installiert ist oder nicht.

Hatte ich damals schon geschrieben. Schädliche Mails kommen in Wellen und die erste Welle kann am Anfang nicht aufgehalten werden.

Nein. Der Anwender klickt so oder so drauf. Egal, ob da ein Virenscanner installiert ist oder nicht.

Die Frage ist, in wie vielen Fällen es genau in dem Fall hilft und in wie vielen Fällen ist das AV-Programm selbst das Einfalltor und in wie vielen Fällen hat das AV-Programm den ganzen PC lahmgelegt. Wie ich ja aus eigener Erfahrung sagte: Der AV-Scanner hat bei mir bisher so gut wie nie irgendwelche Viren und Co. gefunden, aber er selbst hätte schon diverse Male den kompletten Server lahmlegen können.

Hatte ich damals schon geschrieben. Schädliche Mails kommen in Wellen und die erste Welle kann am Anfang nicht aufgehalten werden.

Ich kriege auch heute noch Ransomware-Mails... scheint also nicht allzu erfolgreich zu sein, diese "Erkennung".

Du sagst es ja selbst: 100% Schutz gibt es nicht. Warum also einen AV-Scanner benutzen, der den Schutz sogar noch effektiv verringert, weil er selbst das Einfalltor ist? Wenn die Systeme so konfiguriert wären, als wenn sie keine AV-Software hätten, dann hätte auch ein entsprechender Virus keinen großen Erfolg.

Auch für deine Argumente hat er einen Absatz parat:

Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!

Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.

Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.

und im zweiten Link


Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?

Na ja, doch. Sehe ich praktisch täglich. Nicht immer, aber das ist ja genau der Punkt. Man kann sich einfach im Alltag nicht darauf verlassen. Vielleicht hält es, vielleicht auch nicht und ich bin kein bisschen schlauer als vorher.

Man muss kein Genie sein oder ein besonderes Vorwissen haben, um zu sehen, dass man in der Praxis das Verhalten von Programmen und generell den meisten Algorithmen nicht zuverlässig automatisiert analysieren kann.

Man packt Abbruchbedingungen rein, aber das kann immer nur Pi mal Daumen sein. Und letztendlich kann es dann noch immer sein, dass eine Bedingung doch nicht greift und der Scanner einfach ewig rödelt. Es ist einfach nicht zuverlässig. Mehr versuche ich eigentlich auch nicht zu sagen.

In der Praxis sollte man vielleicht einfach (wenn möglich) Probleme meiden, die man schon nicht theoretisch lösen kann.Ich bin mir nicht sicher, was du damit wieder sagen willst. Wenn du richtig kleinkariert bist, meinst du damit nur, dass alle Programme in einer Dauerschleife laufen bis sie beendet werden.
Wenn du es ordentlich meinst, frage ich mich, was du da machst. Weil es bedeuten würde, dass dein Sicherheitskonzept sich in Dauerschleifen aufhängt und die Systeme so nichts produktives machen.

Wie ich schon geschrieben habe, gibt es Kriterien dafür.
Unter Win XP wurde zum Beispiel die Sache mit Netzwerkverbindungen auf 10 beschränkt, damit Schädlinge sich nicht mehr so schnell verbreiten konnten. Ich würde sagen, so eine Erkennung ist ein bischen komplexer als ein Hello World, aber erfüllt bei weitem nicht deine Turingsache.
Dadurch wurden sämtliche Programme, die mehr Verbindungen zu verschiedenen IP Adressen parallel aufbauen wollten.
Meines Wissens nach werden nur solche einzelnen Sachen von den AVs untersucht, zusammengezählt und dadurch entschieden und nicht das ganze, was du die ganze Zeit meinst.

Schreiben die Hersteller auch.
https://wiki.securepoint.de/AV/Client/Arbeitsweise
Archive werden entpackt, entschlüsselt und ausgeführt, Dateien und Funktionen analysiert, veränderten Speicherbereiche und entpackten Codes beobachtet und bewertet. Hinweise auf Schädlinge liefert oft auch das Verhalten unmittelbar nach dem Download. Gezielte Aktionen deuten auf ein Virus hin, unmittelbar nach der Verhaltenserkennung wird überprüft, ob es sich in einer simulierten Umgebung befindet – und sich damit selbst enttarnt.
Ich sehe da einige Kriterien und nicht ein ganzes.

Ist eben die Frage, die wir als Anwender nicht beantworten können, was aber selten vorkommt, warum ein Virenscanner sich zu Tode scannt. Hatte ich aber nie Probleme mit. Clam AV hatte mehrere Instanzen und wirklich lange hatte keiner gescannt.

Du sollst ein Beispiel bringen und nicht dauernd ausweichen.

Oder um es mal anders herum zu sehen/fragen:

Wie du ja selbst sagst, gibt es keine 100%ige Sicherheit. Also bist du dir auch nicht sicher ob dein PC gerade frei von Viren, oder bereits total verseucht ist, auch wenn du eine AV-Software drauf hast. Du kannst ja auch laut deinen Aussagen hier, nicht ausschließen, dass dein AV-Programm auch mal was nicht findet.

Wie ist dein Verhalten im Allgemeinen nun unterschiedlich zu dem, als wenn du keine AV-Software drauf hast? Oder glaubst du insgeheim doch, dass die AV-Software 100% Erkennungsrate hat? Wie prüfst du deine Systeme auf Infektionen oder allgemeines Fehlverhalten? Oder wie verhinderst du, dass ein Virus, der ja unweigerlich auch mit AV-Software durchkommen kann, nur wenig Schaden anrichten kann?

Und genau an dem Punkt brauchst du auch die AV-Software nicht mehr. Denn zu so gut wie jedem "Diesen Fall hätte die AV-Software verhindert", gibt es fast genauso viele "Diesen Fall hat die AV-Software erst verursacht".

Die Frage ist, in wie vielen Fällen es genau in dem Fall hilft und in wie vielen Fällen ist das AV-Programm selbst das Einfalltor und in wie vielen Fällen hat das AV-Programm den ganzen PC lahmgelegt. Wie ich ja aus eigener Erfahrung sagte: Der AV-Scanner hat bei mir bisher so gut wie nie irgendwelche Viren und Co. gefunden, aber er selbst hätte schon diverse Male den kompletten Server lahmlegen können.Aus praktischer Erfahrung kann ich dir sagen in einigen Fällen.
AV Programme? Effektiv? Wollte zuerst schreiben nie, aber dann fiel mir ein, dass es ein paar Viren gab, die Virenscanner deaktivierten und sich selber als einen darstellten. Allerdings ist der AV in diesem Sinne nicht das Einfallstor. Als Einfallstor selber gab es meines Wissens nach nur sehr wenige Schädlinge, weil die Lücken normalerweise schnell geschlossen wurden.

Huihuihui. Da hast du aber Glück gehabt. Aber nicht mit einem normalen Browser surfen. Da kann, mein Hoschi, also so einiges, huihuihui.
Das sind die Momente, wo ich mich nur Frage, ob ihr mich verarschen wollt. Da ist eine Sicherheitslücke im OS, Broswer, Flash oder sonstige Anwendung: Ach Gottchen. Was solls. Lücke im AV: Boah, ey, voll das Schlangenöl. Mein System hätte voll übernommen werden können, was sonst gar nicht möglich wäre.
Ich kriege auch heute noch Ransomware-Mails... scheint also nicht allzu erfolgreich zu sein, diese "Erkennung".Dafür kenne ich dein Konzept nicht. Unter Linux hast mehrere Sachen, um die Spamerkennung zu verbessern.Du sagst es ja selbst: 100% Schutz gibt es nicht. Warum also einen AV-Scanner benutzen, der den Schutz sogar noch effektiv verringert, weil er selbst das Einfalltor ist? Wenn die Systeme so konfiguriert wären, als wenn sie keine AV-Software hätten, dann hätte auch ein entsprechender Virus keinen großen Erfolg.

Auch für deine Argumente hat er einen Absatz parat:

und im zweiten LinkVerbreitungsgrad? Clam AV ist nun nicht gerade das potentielle Ziel von Hackern.

Welches Argument? Das er keine Ahnung hat, wie Putzfrauen arbeiten? Glaubst du, den Wischmop, den sie für den Tisch benutzt, ist ein anderer als für den Boden?
Oberflächlich ist alles sauber. Das sind infizierte System auch. Achja, seine Weihnachtsaktion zeigt doch, dass sein Sicherheitskonzept nichts taucht. (Hat er überhaupt eines?) Ansonsten bräuchte er keine Viren/ Schädlinge entfernen.

Weil es bedeuten würde, dass dein Sicherheitskonzept sich in Dauerschleifen aufhängt und die Systeme so nichts produktives machen.

Na ja, die Systeme hängen sich nicht komplett auf, aber die Antivirenprozesse rödeln einfach ewig.

Wie ich schon geschrieben habe, gibt es Kriterien dafür.
Unter Win XP wurde zum Beispiel die Sache mit Netzwerkverbindungen auf 10 beschränkt, damit Schädlinge sich nicht mehr so schnell verbreiten konnten. Ich würde sagen, so eine Erkennung ist ein bischen komplexer als ein Hello World, aber erfüllt bei weitem nicht deine Turingsache.

Dadurch wurden sämtliche Programme, die mehr Verbindungen zu verschiedenen IP Adressen parallel aufbauen wollten.
Meines Wissens nach werden nur solche einzelnen Sachen von den AVs untersucht, zusammengezählt und dadurch entschieden und nicht das ganze, was du die ganze Zeit meinst.

Genau das, was du hier beschreibst, ist das, was es so fehleranfällig macht. Es wird immer Programme geben, die nicht in deine Bedingungen passen oder falsch erkannt werden. Etwas anderes sage ich die ganze Zeit auch nicht.

Ist eben die Frage, die wir als Anwender nicht beantworten können, was aber selten vorkommt, warum ein Virenscanner sich zu Tode scannt. Hatte ich aber nie Probleme mit. Clam AV hatte mehrere Instanzen und wirklich lange hatte keiner gescannt.

Das kann man nicht nur als Anwender nicht beantworten, das können auch die Hersteller oft nicht beantworten.

Du sollst ein Beispiel bringen und nicht dauernd ausweichen.

Was für Beispiele willst du hören? Ich kille regelmäßig tagelang laufende AV-Prozesse, die nicht mehr weiterkommen und protokolliere das. Für mich ist das verschwendete Zeit, in der man sinnvollere Sachen machen könnte.

Huihuihui. Da hast du aber Glück gehabt. Aber nicht mit einem normalen Browser surfen. Da kann, mein Hoschi, also so einiges, huihuihui.
[i]Das sind die Momente, wo ich mich nur Frage, ob ihr mich verarschen wollt. Da ist eine Sicherheitslücke im OS, Broswer, Flash oder sonstige Anwendung: Ach Gottchen. Was solls. Lücke im AV: Boah, ey, voll das Schlangenöl. Mein System hätte voll übernommen werden können, was sonst gar nicht möglich wäre.

Allen AV-Scannern fehlen so ziemlich alle Härtungen, welche z.B. moderne Browser ziemlich sicher machen. Wenn du einmal die Changelogs und Bugfixes von z.B. Chrome liest, wird dir auffallen, dass ein ziemlich großer Teil der Lücken, die für andere Software zur Kompromittierung führen, bei Chrome von der Sandbox und starken Isolation vom System abgefangen wird. Ein 0-Day-Exploit für Chrome ist nichts, was sich Kleinkriminelle mal eben so aus dem Ärmel schütteln können. Dafür fehlt sowohl das Know How als auch das Geld.

Bei den meisten AV-Scannern kannst du dir blind irgendein exotisches oder auch nicht-exotisches Dateiformat aussuchen und ein bisschen die Parser exploiten. Bei irgendeinem AV-Scanner kam vor kurzem auch raus, dass die ihre Library zum Entpacken von ZIP-Dateien seit >10 Jahren nicht mehr aktualisiert hatten. Leider finde ich das nicht mehr.

Ich denke mal den meisten Entwicklern solcher AV-Scannern sind die Probleme wohl bekannt. Über die Sicherheit der AV-Scanner selbst wird nur ungerne geredet, weil natürlich jeder weiß, dass alleine die ganzen Parser abzusichern für ein einziges Unternehmen praktisch unmöglich zu bewerkstelligen ist.

Dafür kenne ich dein Konzept nicht. Unter Linux hast mehrere Sachen, um die Spamerkennung zu verbessern.

Das hat nichts mehr mit meinen Servern zu tun, ich kriege die auf "externe" Konten.


Verbreitungsgrad? Clam AV ist nun nicht gerade das potentielle Ziel von Hackern.

ClamAV und geringe Verbreitung? Hab ich was verpasst?


Welches Argument? Das er keine Ahnung hat, wie Putzfrauen arbeiten? Glaubst du, den Wischmop, den sie für den Tisch benutzt, ist ein anderer als für den Boden?
Oberflächlich ist alles sauber. Das sind infizierte System auch. Achja, seine Weihnachtsaktion zeigt doch, dass sein Sicherheitskonzept nichts taucht. (Hat er überhaupt eines?) Ansonsten bräuchte er keine Viren/ Schädlinge entfernen.

Du scheinst seine grundlegende Argumentationskette nicht zu verstehen. Es geht nicht darum zu sagen, dass AV-Programme nicht auch mal was finden können. Es geht darum, dass sie global gesehen die Sicherheit nicht grundlegend erhöhen, teilweise sogar gigantische Löcher reinreißen und man so oder so so tun müsste als wenn sie gar nicht da wären.

Und um bei der Frage von oben zu bleiben: Wenn bei dir anscheinend regelmäßig der AV-Client triggert: Woher willst du wissen wie viel er NICHT gefunden hat? Was genau tust du dagegen?

Oder um es mal anders herum zu sehen/fragen:

Wie du ja selbst sagst, gibt es keine 100%ige Sicherheit. Also bist du dir auch nicht sicher ob dein PC gerade frei von Viren, oder bereits total verseucht ist, auch wenn du eine AV-Software drauf hast. Du kannst ja auch laut deinen Aussagen hier, nicht ausschließen, dass dein AV-Programm auch mal was nicht findet.

Wie ist dein Verhalten im Allgemeinen nun unterschiedlich zu dem, als wenn du keine AV-Software drauf hast? Oder glaubst du insgeheim doch, dass die AV-Software 100% Erkennungsrate hat? Wie prüfst du deine Systeme auf Infektionen oder allgemeines Fehlverhalten? Oder wie verhinderst du, dass ein Virus, der ja unweigerlich auch mit AV-Software durchkommen kann, nur wenig Schaden anrichten kann?

Und genau an dem Punkt brauchst du auch die AV-Software nicht mehr. Denn zu so gut wie jedem "Diesen Fall hätte die AV-Software verhindert", gibt es fast genauso viele "Diesen Fall hat die AV-Software erst verursacht".Richtig. 100% sicher kann ich nicht sein, dass mein System virenfrei ist. Kann ich nie.

Einfaches Beispiel aus der Vergangenheit: Lanparty Mitte der 00er Jahre. Einer kam an, hatte Blaster auf dem System. Gespräch mit der Person: Das System ist ganz frisch aufgesetzt.
Warst du damit im Internet?
Nein. blablabla ... nur ganz kurz.
Dieser kurze Moment ohne irgendeine personal FW hat ausgereicht.

Mein Verhalten? Gibt keinen Unterschied. Ich surfe nur vertraute Seiten an und bin vorsichtig bei unbekannten Seiten. Es wird nicht jedes Ergebniss bei Google angeklickt.

Windows 10 hat den Defender. XP benutzt ich nur noch sehr eingeschränkt, konnte bisher keine Merkwürdigkeiten feststellen.
FreeBSD macht einmal in der Woche von sich heraus einen Check und packt eine Mail ins Postfach.

Das ist die Frage des Schadens. Wenn er alles verschlüsselt, sehe ich es.
Achja, AVs können Tage später Infektionen zumindest teilweise entfernen. Wenn solche Meldungen kommen, weiß man, das was nicht stimmt. Hinzu kommt, NoScript zum Beispiel verhindert ein bischen was. Dadurch kann ein Schädling auf meinem System liegen, aber richtet keinen Schaden an.

Sorry, meiner Erfahrung nach nicht. Da haben die Virenscanner mehr geholfen als Probleme gemacht.

Dieser kurze Moment ohne irgendeine personal FW hat ausgereicht.

Du vermischst schon wieder unterschiedliche Sicherheitstechnologien. Eine Firewall ist kein AV-Programm. Blaster hat sich auch mit AV-Software rasant verbreitet. Hier war dein Sicherheitsproblem nicht die mangelnde AV-Software, sondern dass dein PC nach außen relevante Dienste einfach offen anbietet.

Deine grundlegende Hoffnung ist einfach nur "Das AV-Programm wird's hoffentlich finden". Das ist aber einfach nur eine Traumvorstellung die der Realität nicht standhält. Wenn deine Arbeits- bzw. Denkweise zwischen "mit AV Software" und "ohne AV Software" unterschiedlich ist, dann begehst du halt hier schon einen Fehler.

ClamAV und geringe Verbreitung? Hab ich was verpasst?

Du scheinst seine grundlegende Argumentationskette nicht zu verstehen. Es geht nicht darum zu sagen, dass AV-Programme nicht auch mal was finden können. Es geht darum, dass sie global gesehen die Sicherheit nicht grundlegend erhöhen, teilweise sogar gigantische Löcher reinreißen und man so oder so so tun müsste als wenn sie gar nicht da wären.

Und um bei der Frage von oben zu bleiben: Wenn bei dir anscheinend regelmäßig der AV-Client triggert: Woher willst du wissen wie viel er NICHT gefunden hat? Was genau tust du dagegen?Es wäre mir neu, dass Clam AV eine sooo große Verbreitung hat. Kannst aber Zahlen vorlegen.

Diese Argumentationskette höre ich seit Anfang der 00er Jahre. Personal FWs würden nichts taugen usw.
Gigantische Sicherheitslücken? Schon wieder dieses dumme Argument. Dann pack endlich mal die ganzen Viren/ Schädlinge dazu, die diese gigantischen Lücken ausnutzen. Deiner Argumentation(skette) nach sollte es kein Problem sein, mal eben eine ordentliche Menge (nicht 10 Stück, sondern mal richtig was, 50 und noch mehr verschiedene Schädlingsfamilien) zu finden.

Nicht bei mir selber. Nennt sich nur Arbeit. Also praktische Erfahrung.

Du vermischst schon wieder unterschiedliche Sicherheitstechnologien. Eine Firewall ist kein AV-Programm. Blaster hat sich auch mit AV-Software rasant verbreitet. Hier war dein Sicherheitsproblem nicht die mangelnde AV-Software, sondern dass dein PC nach außen relevante Dienste einfach offen anbietet.

Deine grundlegende Hoffnung ist einfach nur "Das AV-Programm wird's hoffentlich finden". Das ist aber einfach nur eine Traumvorstellung die der Realität nicht standhält. Wenn deine Arbeits- bzw. Denkweise zwischen "mit AV Software" und "ohne AV Software" unterschiedlich ist, dann begehst du halt hier schon einen Fehler.Die Lanparty hatte einige Wochen nach dem Ausbruch von Blaster stattgefunden. Sein System war einfach nackt. Ich weiß nicht einmal mehr, ob er schon SP2 installiert hatte.

Gegenfragen: Wie machst du es den?

Na ja, die Systeme hängen sich nicht komplett auf, aber die Antivirenprozesse rödeln einfach ewig.Anzahl der Instanzen mal reduziert? IOPs getestet? Größe/ Berechtigungen der Dateien, die gescannt werden, überprüft?Genau das, was du hier beschreibst, ist das, was es so fehleranfällig macht. Es wird immer Programme geben, die nicht in deine Bedingungen passen oder falsch erkannt werden. Etwas anderes sage ich die ganze Zeit auch nicht.Dazu kann ich nur sagen, dass ich bisher nicht DIE Probleme mit Virenscannern hatte. Bisher haben sie sich im normalen Rahmen verhalten.
Was für Beispiele willst du hören? Ich kille regelmäßig tagelang laufende AV-Prozesse, die nicht mehr weiterkommen und protokolliere das. Für mich ist das verschwendete Zeit, in der man sinnvollere Sachen machen könnte.Sowas würde ich versuchen zu automatisieren. Kannst nachvollziehen, welche Dateien sie scannen?

Worauf ich eher warte, ist ein praktisches Beispiel für deine Turingsache.
Allen AV-Scannern fehlen so ziemlich alle Härtungen, welche z.B. moderne Browser ziemlich sicher machen.

Bei den meisten AV-Scannern kannst du dir blind irgendein exotisches oder auch nicht-exotisches Dateiformat aussuchen und ein bisschen die Parser exploiten. Bei irgendeinem AV-Scanner kam vor kurzem auch raus, dass die ihre Library zum Entpacken von ZIP-Dateien seit >10 Jahren nicht mehr aktualisiert hatten. Leider finde ich das nicht mehr.

Ich denke mal den meisten Entwicklern solcher AV-Scannern sind die Probleme wohl bekannt. Über die Sicherheit der AV-Scanner selbst wird nur ungerne geredet, weil natürlich jeder weiß, dass alleine die ganzen Parser abzusichern für ein einziges Unternehmen praktisch unmöglich zu bewerkstelligen ist.Frage bleibt: Wie viele Angriffe gibt es auf diese Lücken? Wie viele Viren versuchen diese auszunutzen?

Es wäre mir neu, dass Clam AV eine sooo große Verbreitung hat. Kannst aber Zahlen vorlegen.

Zahlen kann ich schlecht vorlegen, genauso wie du vermutlich die geringe Verbreitung belegen kannst. Aber welcher Hoster mit irgendeiner Mail-Server Konstellation auf Linux-Basis benutzt denn kein ClamAV? Als Beispiel mal:

https://www.heise.de/security/meldung/Jetzt-patchen-Angriffe-auf-Viren-Scanner-ClamAV-3951801.html


Gigantische Sicherheitslücken? Schon wieder dieses dumme Argument. Dann pack endlich mal die ganzen Viren/ Schädlinge dazu, die diese gigantischen Lücken ausnutzen.

Ach, sind wir jetzt schon bei "wird schon keiner diese Lücken nutzen" angekommen, damit die Argumentation funktioniert? Ist doch vollkommen egal ob ein Virus oder 50 Viren eine Lücke ausnutzen. Blaster hatte auch nur 6 Varianten wovon 2-3 eher kosmetisch waren und nicht 20 oder 50, und trotzdem hast du ihn bis heute nicht vergessen.

Dir wurde doch jetzt schon genug Links gegeben, wo das AV-System das System demoliert hat, Updates verhindert hat oder selbst das Einfallstor war.

Gegenfragen: Wie machst du es den?

Wie ich ja schon sagte, läuft bei mir auch eine AV-Software. Aber ich halte sie schlicht und ergreifend für nutzlos und schädlich, aber ich darf sie auch nicht entfernen.

Bei mir fahren einfach die normalen Sicherheitsregeln die man immer so fährt. Ordentliche Backups, minimalistische Systeme (z.B. deaktivieren von Scripting, Sonderfeatures etc.), regelmäßiges Einspielen von Updates, Sandboxing, Nutzertrennung und Co. Die AV-Software ändert an meinem Gefühl von "die Systeme sind sauber" kein Stück was und bei dir doch auch nicht. Also wozu ist sie da? Ich sehe sie als Sicherheitsproblem.

Hätte ich nicht das ganze Büro rechtzeitig über Ransomware persönlich informiert, dann wären wir vermutlich auch erwischt worden. Vollkommen egal ob AV-Software drauf ist oder nicht. Unsere Mailkonten waren voll mit dem Scheiß.

Und vielleicht um noch was dazu hinzuzufügen: Würde bei mir im Büro dauernd und überall der AV-Client triggern, dann würde ich nicht den AV-Client loben, sondern mich fragen warum dies dauernd passiert und wo die Ursache darin liegt und dann das Problem beheben.

Weil für jedes Mal wo ein AV-Client sich meldet können auch schon 10 Dinge passiert sein, wo der Client versagt hat.

Ich lade z.B. auch gerne mal die Ransomeware-Dateien oder was auch immer das ist was da im Anhang ist zu VirusTotal hoch, die ich per Mail bekomme. Die Erkennungsrate ist oftmals äußerst schlecht.

Ach, sind wir jetzt schon bei "wird schon keiner diese Lücken nutzen" angekommen, damit die Argumentation funktioniert? Ist doch vollkommen egal ob ein Virus oder 50 Viren eine Lücke ausnutzen. Blaster hatte auch nur 6 Varianten wovon 2-3 eher kosmetisch waren und nicht 20 oder 50, und trotzdem hast du ihn bis heute nicht vergessen.

Dir wurde doch jetzt schon genug Links gegeben, wo das AV-System das System demoliert hat, Updates verhindert hat oder selbst das Einfallstor war.Nein, wir sind bei Linux- Logik "Die Lücke wird nicht ausgenutzt, also brauch ich keinen Virenscanner".
Weil Blaster die Systeme teilweise neu gestartet hatte.

Weil ich mich nicht erinnern kann, dass da trotz der ganzen Sicherheitsmeldungen nennenswerte Viren aufgetaucht sind. Teilweise wie es in einigen Links steht, die Lücken vor der Veröffentlichung der Meldung gefixt wurden, teilweise wurden die Lücken kurz danach gefixt und trotzdem ist kein Virus aufgetaucht. Dafür tauchen immer wieder Viren auf, die Browserlücken ausnutzen wollen. Die einfachsten installieren sich weiterhin als Addons.
https://www.google.com/search?q=virus+chrome+2019

Da interessieren mich, wie schon angedeutet, zur Zeit nur die Sachen, wo sie selbst Einfallstor sind und ob sie ausgenutzt wurden.

Und vielleicht um noch was dazu hinzuzufügen: Würde bei mir im Büro dauernd und überall der AV-Client triggern, dann würde ich nicht den AV-Client loben, sondern mich fragen warum dies dauernd passiert und wo die Ursache darin liegt und dann das Problem beheben.

Ich lade z.B. auch gerne mal die Ransomeware-Dateien oder was auch immer das ist was da im Anhang ist zu VirusTotal hoch, die ich per Mail bekomme. Die Erkennungsrate ist oftmals äußerst schlecht.Auf der Arbeit ist es selten, weshalb es kein Problem darstellt. Wie es in der neuen Firma ist, muss ich erst schauen. Viele, kleine Kunden. Kurz gesagt, ich rede nicht davon, dass in einem Büro immer wieder was triggert, sondern das mal aus dem einen, mal aus dem anderen Firmenbüro was kommt.

Die Frage, wieso das passiert, kann ich auch so beantworten: Mail und Anhang in den meisten Fällen.

Lad es in 24 Stunden später nochmal hoch.

Bei mir fahren einfach die normalen Sicherheitsregeln die man immer so fährt. Ordentliche Backups, minimalistische Systeme (z.B. deaktivieren von Scripting, Sonderfeatures etc.), regelmäßiges Einspielen von Updates, Sandboxing, Nutzertrennung und Co. Die AV-Software ändert an meinem Gefühl von "die Systeme sind sauber" kein Stück was und bei dir doch auch nicht. Also wozu ist sie da? Ich sehe sie als Sicherheitsproblem.Und wie garantierst du jetzt, dass dein System sauber ist? Das ist die Sache mit der Paranoia. Irgendwas mit Live-CD und Systemcheck muss da dann schon laufen. Zumindest, wenn es einen Verdachtsmoment gibt.

Zur Zeit gehe ich davon aus, dass meine Systeme sauber sind. Einfach aus dem Grund, weil FreeBSD und XP auf der alten Kiste laufen. Wenn da irgendwas neues läuft, eiert die Kiste nur noch mehr rum.
Und bei meiner neuen Kiste habe ich bisher auch nicht wild umhergesurft und Mails werden unter FreeBSD angeguckt.

Anzahl der Instanzen mal reduziert? IOPs getestet? Größe/ Berechtigungen der Dateien, die gescannt werden, überprüft?

Nur einmal zur Verdeutlichichung: Das ist kein neues Problem. Es zieht sich über Jahre. Ich bin nicht der Erste, der sich damit beschäftigt und wahrscheinlich auch nicht der Letzte, solange AV-Scanner so etwas wie eine Art Checklistenfeature sind.

Dazu kann ich nur sagen, dass ich bisher nicht DIE Probleme mit Virenscannern hatte. Bisher haben sie sich im normalen Rahmen verhalten.

Wahrscheinlich weil du einfach mit weniger Daten und Rechnern zu tun hast.

Sowas würde ich versuchen zu automatisieren. Kannst nachvollziehen, welche Dateien sie scannen?

Man kann es versuchen, es wird nur niemals zuverlässig funktionieren. Du kannst das versuchen zu ignorieren, aber es wird dich immer wieder heimsuchen.

Ich kann übrigens nachvollziehen, welche Dateien gescannt werden und der Hersteller bekommt regelmäßig die Logs seiner Software. Da es dafür in den letzten 10(?) Jahren aber von diesem und den vorherigen Herstellern wohl nie eine Lösung gab, kannst du wohl ganz stark davon ausgehen, dass die böse Theorie irgendwie doch eine gewisse Relevanz für die Praxis hat.

Worauf ich eher warte, ist ein praktisches Beispiel für deine Turingsache.

Die gesamte Praxis operiert unter diesem Rechnermodell. Es ist nicht so, dass es dafür praktische Beispiele gibt. Du kannst den Limitierungen dadurch einfach nur nicht entkommen.

Frage bleibt: Wie viele Angriffe gibt es auf diese Lücken? Wie viele Viren versuchen diese auszunutzen?

Wie gesagt: Absolut niemand betrachtet das als sinnvolle Metrik, um die Sicherheit von Rechnern zu beurteilen. Wenn man danach geht, hat man eigentlich schon verloren. Das ist im Nachhinein vielleicht interessant, aber für die Absicherung sollte das keine Rolle spielen.

Zur Zeit gehe ich davon aus, dass meine Systeme sauber sind. Einfach aus dem Grund, weil FreeBSD und XP auf der alten Kiste laufen. Wenn da irgendwas neues läuft, eiert die Kiste nur noch mehr rum.

Irgendwie beunruhigt mich der Satz ein bisschen.

Nein, wir sind bei Linux- Logik "Die Lücke wird nicht ausgenutzt, also brauch ich keinen Virenscanner".
Das ist nicht die "Linux-Logik", das ist Stuss. Und wenn du mal einsehen wuerdest, dass das eine mit dem anderen nichts zu tun hat, muesstest du hier auch nicht seitenlang im Kreis laufen.

Jaja, alles Gute hat auch irgendeinen Nachteil.
Als mein Vater in den 70er Jahren sein Auto in einer Kurve ins Gemüse geschmissen hat, hat er wahrscheinlich nur überlebt weil er aus dem Auto geschleudert wurde da es noch keine Sicherheitsgurte gab.
Auch wenn es mich dann nie gegeben hätte bin ich für die Gurtpflicht.

Zur Zeit gehe ich davon aus, dass meine Systeme sauber sind. Einfach aus dem Grund, weil FreeBSD und XP auf der alten Kiste laufen.Ich hoffe das XP ist nicht online!? :|

MfG
Rooter

Wahrscheinlich weil du einfach mit weniger Daten und Rechnern zu tun hast.Keine Ahnung. Damals aufm Mailserver kam es hin und wieder vor, dass die Queue paar tausend Mails hatte. Wurde alles in Ruhe gescannt und verarbeitet. War ClamAv mit Definitionserweiterungen zur besseren Erkennung.

Sollten solche Probleme nicht unabhängig von der Anzahl der Daten passieren?
Ansonsten wäre das ein Ansatz.
Gut, ich weiß nicht, was du da machst (im Sinne welche Aufgabe deine Server überhaupt haben), was bei dir gescannt wird.
Wie gesagt: Absolut niemand betrachtet das als sinnvolle Metrik, um die Sicherheit von Rechnern zu beurteilen. Wenn man danach geht, hat man eigentlich schon verloren. Das ist im Nachhinein vielleicht interessant, aber für die Absicherung sollte das keine Rolle spielen.Bei der Auswahl eines Virenscanner, unabhängig vom OS (Windows, Linux), ist einer der Punkte, dass der Hersteller beim Ausbruch eines Virus schnell reagiert. Es nützt nichts, wenn ich einen hübschen Virenscanner habe, aber die Reaktionszeiten relativ lange sind.
Oder anders gefragt: Wie lange sind diese Lücken offen?
Irgendwie beunruhigt mich der Satz ein bisschen.Kann ich nicht verstehen, warum. Soll doch keinen Virenscanner einsetzen, weil Snakeoil und gigantisches Sicherheitsloch.
Außerdem surfe ich damit nur auf überschaubare Anzahl eher bekannten Seiten. Wenn ich mir was einfange, besteht eine gute Chance, dass es vom 3dc kommt. Beruhigt dich das?

Das ist nicht die "Linux-Logik", das ist Stuss. Und wenn du mal einsehen wuerdest, dass das eine mit dem anderen nichts zu tun hat, muesstest du hier auch nicht seitenlang im Kreis laufen.Keine Ahnung. Ich lese hier nur viel Stuß in meinen Augen. Erleuchte mich.

Es wird hier nichts ordentlich erklärt, sondern nur auf Theorie verwiesen und das wars.

Problem ist, dass du hier munter Anwendungsszenarien wie Mailserver und Surfen durcheinander schmeißt. Wenn man irgendwelche Kunden oder Kollegen vor sich selbst schützen muss, weil sie zu doof sind, mit den elementarsten Gefahren des Internets umzugehen, ist das eine Sache.
Was man selber macht, ist wiederum etwas ganz anderes. Man fängt sich nicht einfach irgendetwas ein. Die Gefahr von Zero Day Exploits ist selbst mit unsicheren FOSS-Programmen gering, sofern sie aktuell sind.

Ansonsten bitte mal Diskussion auslagern. Es hat nichts speziell mit Linux zu tun und nervt hier langsam.

Sollten solche Probleme nicht unabhängig von der Anzahl der Daten passieren?

Ich schätze mal, dass es bei Terabytes von Daten mehr Probleme gibt als bei einem einzelnen Mail-Server.

Gut, ich weiß nicht, was du da machst (im Sinne welche Aufgabe deine Server überhaupt haben), was bei dir gescannt wird.

Datenbanken, Anwendungen, praktisch alles. Wie gesagt, in den Größenordnungen von einer dreistelligen Anzahl Servern ist es praktisch unmöglich nach dem Verhalten individueller Server zu gehen. Es ist schlicht nicht möglich jeden einzelnen, hängengebliebenen AV-Prozess zu analysieren. Am Ende ist es einfach eine Frage der Skalierung und eine automatisierte Verhaltensanalyse skaliert einfach nicht. Es ist im kleinen Stil schon problematisch und fehleranfällig genug, von daher sollte es niemanden überraschen, warum das auch bei größeren Systemen problematisch bleibt.

Bei der Auswahl eines Virenscanner, unabhängig vom OS (Windows, Linux), ist einer der Punkte, dass der Hersteller beim Ausbruch eines Virus schnell reagiert. Es nützt nichts, wenn ich einen hübschen Virenscanner habe, aber die Reaktionszeiten relativ lange sind.
Oder anders gefragt: Wie lange sind diese Lücken offen?

Dabei widerspreche ich dir ja auch gar nicht. Es sollte nur keine Rolle spielen, ob und wie lange eine offene Lücke ausgenutzt wurde. Wenn man danach geht, begibt man sich schon auf die Verliererseite, weil man damit nur noch reaktionäre Maßnahmen trifft. Es muss also schon einmal etwas in die Hose gegangen sein, damit man aktiv wird. So muss es aber nicht laufen.

Kann ich nicht verstehen, warum. Soll doch keinen Virenscanner einsetzen, weil Snakeoil und gigantisches Sicherheitsloch.

Genau, man sollte einfach ein nach aktuellem Stand vollständig gepatchtes System benutzen. Es ist ziemlich simpel.

Außerdem surfe ich damit nur auf überschaubare Anzahl eher bekannten Seiten. Wenn ich mir was einfange, besteht eine gute Chance, dass es vom 3dc kommt. Beruhigt dich das?

Nicht wirklich. Die Sicherheit im modernen Web kommt nicht dadurch, dass man nur auf "bekannten" (was auch immer das bei Webseiten mit zig Third-Party-Ressourcen bedeuten soll) Webseiten surft.

Ansonsten bitte mal Diskussion auslagern. Es hat nichts speziell mit Linux zu tun und nervt hier langsam.+1

MfG
Rooter

Und wie garantierst du jetzt, dass dein System sauber ist?

Wie oft willst du die Frage jetzt noch beantwortet haben?

Nein, wir sind bei Linux- Logik "Die Lücke wird nicht ausgenutzt, also brauch ich keinen Virenscanner".

Dafür tauchen immer wieder Viren auf, die Browserlücken ausnutzen wollen. Die einfachsten installieren sich weiterhin als Addons.
https://www.google.com/search?q=virus+chrome+2019

Diese "Logik" hast du dir doch gerade selbst ausgedacht, oder? Ich hab noch niemanden sagen hören, dass Sicherheitslücken harmlos sind, weil sie keiner ausnutzt. Und dass du glaubst AV-Software würde Sicherheitslücken auf welche Art auch immer schließen, dann bist du halt auf dem Holzweg.

Oder wie erkennt eine AV-Software, dass ich plötzlich über den Webserver eine Root-Shell habe? Und warum ist es bei dir erlaubt, dass der Anwender Browser-Erweiterungen laden darf? Warum surft dein Anwender mit anscheinend veralteter Software? Und warum öffnen deine Anwender scheinbar jeden Anhang ohne mal 2 Sekunden nachzudenken?

Da interessieren mich, wie schon angedeutet, zur Zeit nur die Sachen, wo sie selbst Einfallstor sind und ob sie ausgenutzt wurden.

Dir wurden doch schon Links gegeben. Hast du einfach weggewischt und wolltest dann plötzlich nur was von Sicherheitsexperten, dann hast du was von Sicherheitsexperten bekommen und plötzlich sind seine Argumente auch falsch, weil dir seine Beispiele nicht gefallen haben.

Sagt dir übrigens Stuxnet was? Der nistet sich übrigens auch in die AV-Software ein. War sehr erfolgreich.

Keine Ahnung. Ich lese hier nur viel Stuß in meinen Augen. Erleuchte mich.

Es wird hier nichts ordentlich erklärt, sondern nur auf Theorie verwiesen und das wars.

Naja, wenn du so auf deinem Glauben beharrst, AV-Software sei essentiell, dann bist du genau die Person die fefe in seinen Beiträgen anspricht. Scheinbar hinterfragst du ja nichts und wischst sämtliche Kritiken an AV-Software einfach weg. Warum ist für dich eine Sicherheitslücke erst eine Sicherheitslücke, wenn es nicht mindestens 20 Viren dafür gibt? Entzieht sich mir jedem Verständnis.
Weiterhin vermischst du ständig unterschiedliche Sicherheitssoftware. Plötzlich ist deine Firewall auch AV Software. Ich hab die starke Vermutung, dass du die "Mächtigkeit" von AV-Software gewaltig überschätzt und dass du so an ihr hängst, weil du glaubst, dass sie Dinge macht, die für sie eigentlich unmöglich ist.

Warum hältst du dich plötzlich für einen besseren Sicherheitsexperten als z.B. fefe? Ransomware hat doch global bewiesen, dass AV-Software nicht hilft.

Btw.
https://blog.fefe.de/?ts=a6015c0e

https://blog.fefe.de/?ts=a7f4c0ac
Ich bin gespannt ob fefe auch auf ein Balkongeländer verzichtet. Das Ding schützt nämlich nicht zu 100% denn eine Schildkröte könnte drunter krabbeln. :)

Ich bin gespannt ob fefe auch auf ein Balkongeländer verzichtet. Das Ding schützt nämlich nicht zu 100% denn eine Schildkröte könnte drunter krabbeln. :)

Ein Balkon-Geländer macht deinen Balkon aber auch nicht unsicherer.

Ich bin gespannt ob fefe auch auf ein Balkongeländer verzichtet. Das Ding schützt nämlich nicht zu 100% denn eine Schildkröte könnte drunter krabbeln. :)

Solche Vergleiche sind selten hilfreich, wenn man über Rechner redet.

Das geht jetzt irgendwie ins falsche subforum, aber da wir hier den Thread zur Sinnhaftigkeit von AV schon haben und die Antwort eh Betriebssystem-unabhaengig ausfaellt hier mal ein aktuelles Beispiel:

Was gerade die Runde macht: Ein aktuelles Windows-Update hat Probleme mit AV. Oder hat AV Probleme mit einem aktuellen Windows-Update? :uponder: https://www.bleepingcomputer.com/news/microsoft/microsofts-april-2019-updates-are-causing-windows-to-freeze/

Jedenfalls steht die AV-Branche natuerlich parat und gibt schon super Erste Hilfe: https://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1976
5. Search for the update KB4493509 and klick on it.
6. Then select Uninstall and confirm the next dialog, to uninstall the update.

Was MS zu KB4493509 sagt: https://support.microsoft.com/en-us/help/4493509/windows-10-update-kb4493509

This update includes quality improvements. Key changes include:

[...]

Security updates to Windows Datacenter Networking, Windows Server, the Microsoft JET Database Engine, Windows Kernel, Windows Input and Composition, Microsoft Scripting Engine, Windows App Platform and Frameworks, Windows Storage and Filesystems, Microsoft Graphics Component, Windows Virtualization, Windows MSXML, Windows SQL components, and Microsoft Edge.

:uclap:

Ist natuerlich einerseits bloed, wenn man Updates derart buendelt. Andererseits gibt es zu der Praxis, seinen eigenen Kunden bewusst Loecher ins System reissen zu lassen, damit die eigene Software weiterhin funktioniert, die diese Probleme ueberhaupt nicht beheben kann, natuerlich ueberhaupt keine Entschuldigung.

Diese "Logik" hast du dir doch gerade selbst ausgedacht, oder? Ich hab noch niemanden sagen hören, dass Sicherheitslücken harmlos sind, weil sie keiner ausnutzt. Und dass du glaubst AV-Software würde Sicherheitslücken auf welche Art auch immer schließen, dann bist du halt auf dem Holzweg.Du bist so lange schon im Internet, da solltest du die Antwort selber schon vor zig Jahren gehört haben.

Hinzu kommt, dass Sicherheitslücken auf Linux, Mac seltener ausgenutzt werden als Windows. Das wurde schon anhand von Statistiken und ähnlichem Sachen gezeigt.Oder wie erkennt eine AV-Software, dass ich plötzlich über den Webserver eine Root-Shell habe? Und warum ist es bei dir erlaubt, dass der Anwender Browser-Erweiterungen laden darf? Warum surft dein Anwender mit anscheinend veralteter Software? Und warum öffnen deine Anwender scheinbar jeden Anhang ohne mal 2 Sekunden nachzudenken?Das kann sie nur, wenn der Aufruf bekannt ist. Wie oft hatte ich das schon geschrieben???
Java noch nie von gehört? PDFs? Und und und? Hin und wieder wollen die Anwender halt irgendwas anders haben.
Wieso veraltet? Immer noch nicht verstanden, dass es keinen 100% Schutz gibt? Das selbst in der aktuellsten Version wieder Lücken drinne sein können?
Dir wurden doch schon Links gegeben. Hast du einfach weggewischt und wolltest dann plötzlich nur was von Sicherheitsexperten, dann hast du was von Sicherheitsexperten bekommen und plötzlich sind seine Argumente auch falsch, weil dir seine Beispiele nicht gefallen haben.Welche Links? Die Linksammlung mit veralteten Links zu Sicherheitsproblemen? Was willst du damit sagen? Ist das die ganze Kompetenz?

Die Links von fefe, der selber kein Konzept hat, das funktioniert? Wenn er jedes Jahr bei seiner Verwandschaft die PCs virenfrei machen muss, hat er kein Konzept, was funktioniert.
Wie war noch deine Frage wegen "meinen" Anwendern? Scheint das gleiche Problem zu haben. Und das von jemanden, der sich Sicherheitsexperte nennt.
Sagt dir übrigens Stuxnet was? Der nistet sich übrigens auch in die AV-Software ein. War sehr erfolgreich.Uff, zum Glück war das auch nur das einzige Einfallstor, was Stuxnet benutzt hat. Huihuihui. Wenn es noch andere benutzt hätte ... was dann? Auch schon mitbekommen, dass Programme sich beenden lassen? Es gab auch Viren, die haben den Virenscanner einfach abgestellt und ein eigenes Icon in den Tray gepackt.Naja, wenn du so auf deinem Glauben beharrst, AV-Software sei essentiell, dann bist du genau die Person die fefe in seinen Beiträgen anspricht. Scheinbar hinterfragst du ja nichts und wischst sämtliche Kritiken an AV-Software einfach weg. Warum ist für dich eine Sicherheitslücke erst eine Sicherheitslücke, wenn es nicht mindestens 20 Viren dafür gibt? Entzieht sich mir jedem Verständnis.Gehört zu jedem Sicherheitskonzept. Warum sonst hat MS wohl den Defender reingepackt? Um Resourcen zu verbrauchen? Achnee, weil AV Software immer Lücken beinhalten. Und weil in Windows sonst keine Lücken sind, hat MS sich gedacht, sie packen da mal ein paar Lücken rein.

Weil ich an deiner Stelle auch mal überlegen würde, wieso es heute noch soviele Antivirenlösungen gibt, wo sie doch laut eurer Aussage komplett überflüssig sind.
Die großartige Kritik besteht doch nur aus "findet nichts, macht nur Probleme. Darum ist das Schlangenöl". Aber du kannst mir gerne mal richtige Gründe nennen.

Weil die bekannten Sicherheitslücken meistens gefixt werden, bevor es überhaupt Viren gibt. Das ist doch euer totschlag Argument gegen Virenscanner. Ist die Sicherheitslücke in dubiosen Kreisen bekannt, wird sie gerne ausgenutzt. Und hier die große Überraschung: Bei Linux werden eher selten Viren geschrieben, während es bei Windows normal ist.

Ansonsten einfach mal die Nachrichten verfolgt? Sicherheitslücke dem Hersteller bekannt, keine Reaktion. Sicherheitslücke veröffentlicht, Lücke wird meistens schnell gefixt.
https://www.heise.de/security/meldung/10-Jahre-alte-kritische-Luecke-in-Linux-Kernel-Kryptofunktion-entdeckt-4315290.html
Weiterhin vermischst du ständig unterschiedliche Sicherheitssoftware. Plötzlich ist deine Firewall auch AV Software. Ich hab die starke Vermutung, dass du die "Mächtigkeit" von AV-Software gewaltig überschätzt und dass du so an ihr hängst, weil du glaubst, dass sie Dinge macht, die für sie eigentlich unmöglich ist.Äh, das nennt sich immer noch Konzept.
Aus Googles Vorschlagswörterbuch:
Kon·zept
/kɔnˈt͜sɛpt,Konzépt/
Substantiv, Neutrum [das]
1. skizzenhafter, stichwortartiger Entwurf, Rohfassung eines Textes, einer Rede o. Ä.
"das Konzept eines Briefes"
2. klar umrissener Plan, Programm für ein Vorhaben
"ein klares, vernünftiges, bildungspolitisches Konzept haben, entwickeln"
Warum hältst du dich plötzlich für einen besseren Sicherheitsexperten als z.B. fefe? Ransomware hat doch global bewiesen, dass AV-Software nicht hilft.Tu ich gar nicht. Ich orientiere mich einfach an der Realität.
Hacker haben bewiesen, dass es keine Sicherheit gibt. Was hat das alleine mit AV Software zu tun? Warum hat den da nicht die Firewall geholfen? Einige haben doch immer gesagt, man brauch nur einen Router, um geschützt zu sein. Fand die Aussage immer etwas fragwürdig. Oder Lumines, wie er einzelne Mails ausfiltert? Von Hand. Bei Terabytes an Mails. :uhammer:
https://de.wikipedia.org/wiki/Thunderstruck_(Lied)#Weiterverwendung <-- damals

Edit: Hab eben nochmal kurz in den einen Link von fefe geguckt. Sehr interessant. Braucht keinen Virenscanner auf der Arbeit, aber trotzdem ist einer installiert. Wie üblich gibt es keine Auswertung, was als Viren richtig erkannt wurde, sondern nur die Aussage, das false positiv Probleme aufgetreten sind.

Edit: Vielleicht einfach mal drüber nachdenken, wie Hacker vorgehen.

Das geht jetzt irgendwie ins falsche subforum, aber da wir hier den Thread zur Sinnhaftigkeit von AV schon haben und die Antwort eh Betriebssystem-unabhaengig ausfaellt hier mal ein aktuelles Beispiel:

Was gerade die Runde macht: Ein aktuelles Windows-Update hat Probleme mit AV. Oder hat AV Probleme mit einem aktuellen Windows-Update? :uponder: https://www.bleepingcomputer.com/news/microsoft/microsofts-april-2019-updates-are-causing-windows-to-freeze/

Jedenfalls steht die AV-Branche natuerlich parat und gibt schon super Erste Hilfe: https://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1976


Was MS zu KB4493509 sagt: https://support.microsoft.com/en-us/help/4493509/windows-10-update-kb4493509


:uclap:

Ist natuerlich einerseits bloed, wenn man Updates derart buendelt. Andererseits gibt es zu der Praxis, seinen eigenen Kunden bewusst Loecher ins System reissen zu lassen, damit die eigene Software weiterhin funktioniert, die diese Probleme ueberhaupt nicht beheben kann, natuerlich ueberhaupt keine Entschuldigung.
Deshalb verwendet man den Windows-Defender...

Hacker haben bewiesen, dass es keine Sicherheit gibt. Was hat das alleine mit AV Software zu tun? Warum hat den da nicht die Firewall geholfen?

Niemand definiert Sicherheit als irgendeine absolute Eigenschaft.

Man kann Sicherheit vielleicht in Kosten für den Angreifer verglichen mit dem Wert der zu schützenden Daten messen. Alles andere macht für eine praxisnahe Definition auch einfach keinen Sinn.

Einige haben doch immer gesagt, man brauch nur einen Router, um geschützt zu sein. Fand die Aussage immer etwas fragwürdig.

Definitiv eine fragwürdige Aussage. Ich verstehe aber auch nicht einmal den Zusammenhang zum Thread.

Oder Lumines, wie er einzelne Mails ausfiltert? Von Hand. Bei Terabytes an Mails. :uhammer:

Um das noch einmal aufzugreifen: Es ging um Mail-Anhänge mit Viren. Ich denke es ist eine legitime Lösung dagegen einfach ein Chromebook zu benutzen. Ich habe nie behauptet, dass ich Terabytes an Mails filtere (nach was überhaupt?).

Ich will dir nicht einmal widersprechen, dass Antivirenprogramme in mit der heißen Nadel gestrickten Umgebungen vielleicht wenigstens keinen negativen Einfluss haben, weil sowieso schon zu viel schiefläuft. Das kann aber nicht der Maßstab sein.

Du kannst mir übrigens gerne einmal erklären, warum Chrome OS und iOS trotz nicht vorhandener Antivirenscanner die mit Abstand sichersten Plattformen sind.

Das kann sie nur, wenn der Aufruf bekannt ist. Wie oft hatte ich das schon geschrieben???
Java noch nie von gehört? PDFs? Und und und? Hin und wieder wollen die Anwender halt irgendwas anders haben.

Was hat das jetzt mit einer Root-Shell zu tun, die ich mir durch eine Sicherheitslücke im Webserver hole? Was hat das mit einem "Aufruf" zu tun?

Weil ich an deiner Stelle auch mal überlegen würde, wieso es heute noch soviele Antivirenlösungen gibt, wo sie doch laut eurer Aussage komplett überflüssig sind.

Gewöhnung? Falscher Sinn für Sicherheit? Schlechtes Sicherheitskonzept? Sicherheit will nicht ich tun, das soll ein Anderer für mich machen? Lügen? Falsche Versprechen?

Avira hat damals sogar behauptet es sei eine Lösung gegen Angriffe mittels Spectre und Meltdown. :ugly:


Weil die bekannten Sicherheitslücken meistens gefixt werden, bevor es überhaupt Viren gibt. Das ist doch euer totschlag Argument gegen Virenscanner.

Nein, ist es nicht. "Unser Totschlagargument" ist das Schaffen und Nutzen von sicheren Umgebungen und nicht behaupten "die AV Software macht da schon". Ganz im Gegenteil, AV Software reißt solche Konzepte meist auseinander, weil es sich überall rein gräbt.

Und zum Rest deines Texts: Du reitest gerade auf deinen eigenen Argumenten rum und tust so als wären es meine, um dann dagegen zu argumentieren. Wäre schön, wenn deine Argumentation nicht auf "ihr behauptet doch das und das" bestehen würde, gegen die du dann selbst argumentierst.

Du kannst mir übrigens gerne einmal erklären, warum Chrome OS und iOS trotz nicht vorhandener Antivirenscanner die mit Abstand sichersten Plattformen sind.

Es ist übrigens auch gar nicht so leicht sichere Konzepte in bestehende Alt-Systeme zu implementieren. Es ist wirklich einfacher ein neues System zu erstellen und dann es dem Nutzer in seiner Gänze unterzujubeln, statt ein bestehendes System sicherer umzustrukturieren.

Microsoft hat's bis heute nicht geschafft den Standard-Nutzer in Windows effektiv zu entmachten, ohne dass die Benutzung des Systems eine Qual wird. UAC war die reinste Katastrophe und hat den Nutzer eher noch mehr desensibilisiert. Nette Features wie AppLocker sind leider wohl noch Windows Enterprise-only (?). Stattdessen wird eher so was wie SmartScreen verbreitet. Apple geht auch eher den Weg "wir führen keine App aus, dir wir nicht selbst in den Fingern hatten" (notarized apps).

Auch unter Linux könnte es besser sein. Es ist zwar rein vom Konzept her schon mal sicherer als Windows, aber es würde noch besser gehen. Aber wie man in der letzten Diskussion zu z.B. Flatpak im Diskussions-Thread gesehen hat: Irgendeinen Workflow wird man kaputt machen (https://www.forum-3dcenter.org/vbulletin/showpost.php?p=11958077&postcount=2266). Und so Konzepte wie die ~/.bashrc und Co. sind halt sicherheitstechnisch auch ziemlicher Mist. Auch die Sicherheitsverbesserungen von Wayland werden ja eher weggeredet und es wird lieber darauf rumgeritten was dann dadurch nicht mehr geht.

Bei einem komplett neuen System ist das alles irgendwie kein Problem mehr.

Bez. Wayland wird einfach ganz viel Müll erzählt und nicht zwischen Compositor und Protokoll unterschieden. Ist für viele Halbwissen-Bobs im Internet einfach zu hoch, bis sie es dann irgendwann doch einfach nutzen werden...