Linux mit oder ohne AV-tool? Erfordernis dank hoher Cyberkriminalität?

[Volvo-Berti]

moin zusammen,

hat jemand von euch ein Antivirus-tool laufen oder ist das überhaupt erforderlich? immerhin ist ja die Cyberkriminalität im Vormarsch und wird sicher nicht weniger in den nächsten Jahren.
Allerdings sagt man doch immer, das bei Linux quasi fst nix passieren kann.

ich frage auch deshalb, weil es auch von Sophos für Linux ein AV-tool gibt, was ich kostenlos nutzen könnte.

 

[zwieblum]

Zumindest sind alle PC bei uns in der Abteilung nicht mit admin-Rechten unterwegs.

Die Rechner schon, die User nicht .. ich wittere hier eine gewisse Diskriminierung von Kohlenstoff.

 

[Volvo-Berti]

Die Rechner schon, die User nicht .. ich wittere hier eine gewisse Diskriminierung von Kohlenstoff.

nöö, das hat schon seine Gründe, warum die User keine Adminrechte haben (die PC haben noch nix dazu gesagt)

 

[stollen]

ernsthaft oder Joke? ich finde solche Seiten erstmal suspekt

Ghostery ist mittlerweile nicht mehr unumstritten: https://de.wikipedia.org/wiki/Ghostery#Kritik

 

[kristatos]

Ich kann zumindest ein paar (subjektive) Eindrücke aus erster Hand beitragen. Auf meinem Firmen-X260 läuft ein Debian Stable und unsere IT war auch der Meinung mir ein Virenscanner (Sophos) verpassen zu müssen.

Anwendungsszenario:
- Mail per Thunderbird
- Firefox mit 5-10 Tabs (keine Multimedia-Inhalte) zusammen mit uBlock origin und NoScript
- 2-3 RDP-Sitzungen
- Teamviewer
- evtl. mal eine VM per VBox
- Dateimanager, ein paar kleine PDF's und vllt. mal ein Terminal

Positiv im Vergleich zu den Scannern unter Windows:
- unauffällig da lizenziert und nur konsolenbasiert (es gibt keine GUI)

Negativ:
- Das System fühlt sich träger an. Nicht so sehr, dass es nervt, aber man hat immer das Gefühl es fehlen ein paar PS unter der Haube.
- RAM-Bedarf liegt bei zwischen 400-800MB
- Lüfter läuft öfter aufgrund von Updates, Scans und keine Ahnung was noch im Hintergrund getrieben wird.

 

[zwieblum]

Deine IT Abteilung brauch definitv eine IT Schulung.

 

[Aiphaton]

Sophos ist eine absolute Pest. Haben wir auch an der Uni und es nervt einfach, kann z.B. das Update von Win 7 auf Win 10 verhindern - ist dabei aber parallel extrem ätzend zu deinstallieren - und einfach mal deaktivieren geht nicht. Dazu macht es das ganze System langsamer und haut manchmal bei Sachen dazwischen. Insgesamt natürlich nicht so nervig wie Avast o.ä..

Da lob ich mir den Defender - still und macht, was er tun soll.

Ach ja - Antivirensoftware im generellen ist halt ein wenig wie "ich infiziere mal den PC, damit er nicht von anderen Sachen infiziert werden kann". https://www.notebookcheck.com/Enthu...ogle-Microsoft-und-viele-andere.452180.0.html

 

[Volvo-Berti]

tja, auch ich kann im Büro das Sophos nicht abschalten, das ist seitens ACPI und den Deployments für Win 10 fest drin und auch für local admins nicht zu erreichen.

 

[tp_x61]

Beim Firmenrechner hat man ja meist keine Wahl, aber privat unter Windows reicht der Windows Defender mehr als aus. Auf einem Linuxrechner käme ich glaube ich nicht auf die Idee mir so eine Software zu installieren. Arbeite nicht als Admin, konfiguriere den Browser ordentlich und achte darauf welche files du aus dem Internet öffnest. Mehr kann man einem User ohnehin nicht raten.

 

[kristatos]

Deine IT Abteilung brauch definitv eine IT Schulung.

Die Jungs sind schon in Ordnung, aber haben halt wenig bis keine Erfahrung in Sachen Linux. Ein Kollege und ich sind auch die einzigen (neben Chef mit seinem Apfel) die kein Windows nutzen. Ich hab mich zu dem Thema auch nicht weiter geäußert, sondern bin froh, mein Debian nutzen zu können statt mit Windows unterwegs sein zu müssen.

 

[mcb]

ernsthaft oder Joke? ich finde solche Seiten erstmal suspekt

Ne der ist echt. Quellcode auf github und hier im Einsatz.

PS: https://addons.mozilla.org/en-US/firefox/addon/css-exfil-protection/
- - - Beitrag zusammengeführt - - -

Ghostery ist mittlerweile nicht mehr unumstritten: https://de.wikipedia.org/wiki/Ghostery#Kritik

Ah ok, bei mir bleibt sowas immer hängen.

- - - Beitrag zusammengeführt - - -

PPS: https://www.ghacks.net/2019/04/02/p...a-pure-css-data-stealing-attack-called-exfil/

 

[Volvo-Berti]

@mcb
Thx, der letzte Artikel ist recht interessant! Ich werde dann mal den css Check machen und das add-on installieren

so, hab das nun laufen im Büro.

und bei noscript scheint erstmal ordentlich Handarbeit erforderlich zu sein, denn eine whitelist gibts wohl noch nicht.

 

[Frieder108]

und bei noscript scheint erstmal ordentlich Handarbeit erforderlich zu sein, denn eine whitelist gibts wohl noch nicht.

Ich empfehle die uMatrix - ist allerdings am Anfang etwas aufwendig in der Einrichtung → belohnt einen dafür aber mit einem weitestgehend ungestörtem Internetgenuss https://addons.mozilla.org/de/firefox/addon/umatrix/

Das Sicherheitsproblem entsteht bei Ubuntu (und Debian, wenn du im Installer kein root-Paswort vergibst) durch die zweckentfremdete sudo-Konfiguration. sudo war ursprünglich dazu gedacht, dem User A gezielt die Möglichkeit zu geben, ein bestimmtes Programm mit wohldefinierten Parametern als User B ausführen zu können. Das von zwieblum angeführte Beispiel, eine Shell (mit beliebigen Scripten) via sudo auszuführen, ist nach diesem Verständnis ein No-Go.

In Ubuntu braucht man nicht mal diesen trivialen Exploit, denn in Ubuntus sudo-Konfiguration ist User B = root und sie gilt für alle Programme, ist also nicht gezielt auf ein bestimmtes Programm gerichtet. Kombiniert mit dem Umstand, dass hier das User-Passwort ausreicht bedeutet das, dass es praktisch keine Trennung zwischen User und System gibt. Im Grunde ist es ein Ähnliches Problem wie es früher unter Windows 98 bestand, als es dort noch keine Trennung zwischen Administrator und privilegiertem Nutzer gab. Die Passwortabfrage ist unter Ubuntu zu einer Warnung degradiert worden:
"Vorsicht, du machst jetzt etwas potenziell Gefährliches!" - "Jaja. Geh weg!" <ENTER>

Ich kenne ja beide Vorgehensweisen - evtl. liegt es auch an meinem persönlichen Usus, dass mir da keine großen Unterschiede auffallen.

Wie bereits angedeutet, wenn ich am System etwas machen muss, dann werde ich via sudo -i zu "root" und ich beende das auch IMMER mit nem exit → aber gut, ich bin Privatanwender und es gibt genau 2 Situationen, in denen ich mein Passwort benötige, nämlich zur Anmeldung als User und zur Anmeldung in einer Konsole als root → müsste ich hingegen ein Mehrbenutzersystem einrichten, würde ich die Sache anders angehen.

Für wesentlich gefährlicher halte ich die Nutzung von "Wine" und PPAs https://ikhaya.ubuntuusers.de/2006/11/20/eine-kleine-geschichte-ueber-fremde-paketquellen/



Noch was zum Passwort => ein starkes Passwort hat für mich mindestens 12 Zeichen und enthält neben Groß- und Kleinschreibung auch Zahlen und Sonderzeichen.

Grüßle

Frieder

 

[hikaru]

Wie bereits angedeutet, wenn ich am System etwas machen muss, dann werde ich via sudo -i zu "root" und ich beende das auch IMMER mit nem exit

Dann "reparierst" du durch deinen umsichtigen Umgang eine "kaputte" sudo-Implementierung, indem du das "kaputte" sudo so einsetzt, als wäre es su.
Wenn du deine /etc/sudoers jetzt noch so konfigurierst, dass sie nicht dein User-Passwort sondern das root-Passwort abfragt, dann kannst du auch gleich su einsetzen.

Für wesentlich gefährlicher halte ich die Nutzung von "Wine" und PPAs https://ikhaya.ubuntuusers.de/2006/11/20/eine-kleine-geschichte-ueber-fremde-paketquellen/

Danke für den Link! Den kannte ich noch nicht. Das ist eine schöne Veranschaulichung der Gefahren von Fremdquellen.

In einem Punkt bin ich mit der Seite allerdings nicht einverstanden:

Wenn man meint eine bestimmte Quelle zu brauchen, dann installiert man aus dieser ausschließlich die Programme, die interessant sind und deaktiviert sie danach wieder.

Wenn man aus einer Fremdquelle ein Paket A bezieht, das neuer ist als Paket A aus dem offiziellen Repo, dann die Fremdquelle deaktiviert, ein Paket B aus dem offiziellen Repo installiert, welches von Paket A in genau der Version abhängt, die im offiziellen Repo liegt, dann fliegt einem das Ganze um die Ohren.

Das passiert z.B. regelmäßig bei deb-multimedia. deb-multimedia stellt ein neueres ffmpeg bereit als Debian. Es gibt einen ganzen Sack ffmpeg-Binärpakete, die nur miteinander harmonieren, wenn sie in der selben Version vorliegen, weil sie alle aus dem selben Quellcodepaket stammen. Installiert man nun z.B. Avidemux aus deb-multimedia, dann wird das ffmpeg-Pakete aus deb-multimedia nach sich ziehen. Deaktiviert man nun deb-multimedia und installiert mpv aus dem offiziellen Repo, dann fliegt einem das um die Ohren, weil mpv gegen genau eine ffmpeg-Version gebaut wird.
Daher: Einmal Fremdquelle, immer Fremdquelle!

Abgesehen davon kann ich als Fremdquellenbetreiber auch noch Schindluder mit meinen Paketen betreiben, wenn der User meine Quelle schon längst deaktiviert hat. Ich muss nur rechtzeitig daran denken und z.B. mein Paket weitere Inhalte nachladen lassen - was bei Paketen die sowieso "irgendwas mit Netz" machen total unauffällig ist.

 

[mcb]

Ja umatrix oder noscript ?

Beides wirklich "nervig" und mit Wechselwirkungen wg addon Beschränkungen bei Firefox Quantum. Es steht was bi der privacy user.js auf github ...

- - - Beitrag zusammengeführt - - -

Hier: https://github.com/ghacksuserjs/ghacks-user.js/wiki/4.1-Extensions

 

[Schwartz]

Es wurde ja schon genannt. Browser sind sicher zu gestalten. Linux-Pakete lädt "man" sowieso nicht von irgendwo sondern lässt den Paketmanager das machen. Ich halte uBlock Origin & uMatrix für das Dream Team was Browsersicherheit angeht. Ersteres für kosmetische Filter und letzteres für alle Skript- und anderweitige Blocks. Was Mail angeht gefällt mir Claws Mail unter Linux sehr. Hierbei auf HTML-Darstellung verzichten oder sie so einstellen, dass nur lokale Elemente dargestellt werden.

Viel komplizierter ist es übrigens auch unter Windows nicht. Ich verwende auch hier schon seit einem guten Jahrzehnt keinen Antivirus mehr, nicht mal den Defender.

 

[Frieder108]

Ja umatrix oder noscript ?

ganz klar → uMatrix kann einiges mehr → mir reicht das als alleiniges Addon, um das ganze "Ungeziefer" fern zu halten.

Danke für den Link! Den kannte ich noch nicht. Das ist eine schöne Veranschaulichung der Gefahren von Fremdquellen.
In einem Punkt bin ich mit der Seite allerdings nicht einverstanden:
Wenn man aus einer Fremdquelle ein Paket A bezieht, das neuer ist als Paket A aus dem offiziellen Repo, dann die Fremdquelle deaktiviert, ein Paket B aus dem offiziellen Repo installiert, welches von Paket A in genau der Version abhängt, die im offiziellen Repo liegt, dann fliegt einem das Ganze um die Ohren.

An dem Punkt bin ich komplett bei dir - wenn ich mich schon dazu entschließe, ein PPA zu verwenden, dann lass ich es drin → aber bedenke, der Artikel ist von 2006.

Um zum Thema zurück zu kommen - ich seh die größten Gefahren immer noch in Fremdquellen, PPAs und Wine → Wine selber schreibt in seiner FAQ unter Kapitel 7.4 sogar selber, dass Windowsviren möglich sind ·→ eigentlich auch logisch, wenn ich mir ein Programm installiere, das .exe ausführbar macht.

Dann "reparierst" du durch deinen umsichtigen Umgang eine "kaputte" sudo-Implementierung, indem du das "kaputte" sudo so einsetzt, als wäre es su.
Wenn du deine /etc/sudoers jetzt noch so konfigurierst, dass sie nicht dein User-Passwort sondern das root-Passwort abfragt, dann kannst du auch gleich su einsetzen.

Ich denke, ich hab das verstanden → Auszug aus nem Kubuntu 20.04 Spiel- und Testsystem

frieder@T420:~$ su
Passwort: 
su: Legitimierungsfehler
frieder@T420:~$ sudo -i
root@T420:~# exit
Abgemeldet
frieder@T420:~$

Das Ergebniss ist ja das gleiche und ich fang jetzt auch nicht sofort damit an, alles umzubauen - aber ja, ich werde das mal für zukünftige Installationen ins Auge fassen → Danke für deine hilfreichen "Synapsen-Schubbser"

 

[Arminius]

bezugnehmend auf den TE Volvo-Berti:
Der Einsatz der Software von SOPHOS als Antivirenlösung scheint hier möglicherweise auf die große Anzahl von bereitsgestellten Lizenzen zurückzuführen zu sein. Wirtschaftlich ist ja immer die Kosten-Leistungs-Rechnung zu betrachten.
Da Firmen ab einer gewissen Größe IT-Sicherheitsvorfälle ans BSI melden müssen, kann die hier eingesetzte IT-Abteilung ihr Vorkommnis vielleicht über SOPHOS am besten nachvollziehen und darstellen.

Meine Meinung und Erfahrung brachte mich dazu, unter Debian das ClamAV von der SSD zu löschen. Das plötzliche Einbrechen der Systemleistung, wenn ClamAV im Hintergrund eine terminierte Virenprüfung durchführt, fand ich schon erheblich. Ich habe in den letzten Jahren nie eine Meldung von ClamAV hinsichtlich einer Auffälligkeit oder Bedrohung erhalten - also raus ...

Das Lesen der Mails in Evolution als Textversion finde manchmal schon recht interressant, erst Recht, wenn ich mir den ganzen Weg mal anschaue.
Insgesamt scheint mir diese klare Ansicht, anstatt HTML schon die bessere Wahl.

Ich nutze als Browser VIVALDI mit uBlock origin und den Privacy Badger. Firefox wurde mir mit der Zeit zu träge, er flattert aber parallel im Hauptmenü mit umher.

 

[Volvo-Berti]

ja, Sophos kommt bei uns im Haus überall zum Einsatz, da wir systemrelevant sind (große Uniklinik). Bekommen kann man das als Mitarbeiter dann über die Universität.

als zusätzliche Quellen habe ich von linrunner die Quellen für TLP und die Quellen für Spotify und Signal:
deb http://repository.spotify.com stable non-free und deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main

 

[Arminius]

Wie ich vermutete unterliegt die Klinik der Meldverpflichtung, daher Sophos

OT:
Berti, du erwähnst hier oben die Quelle für Signal.
Ist hiermit der verschlüsselte Messenger SIGNAL gemeint?
Funktioniert die Einrichtung und der Betrieb unter Mint?

 

[Volvo-Berti]

sorry für die späte Antwort. Ja, ich meine den Messenger SIGNAL. die Einrichtung funktioniert. Man koppelt das Thinkpad mit dem Mobilgerät.
der Betrieb funktioniert auch, allerdings werden ältere Nachrichten vom Smartfon nicht auf die App auf dem TP geladen. Wieso das so ist, weiß ich nicht