Warum haben alle Linux-Distributionen standardmäßig kein Antivirenprogramm?

[Meillo]

Wenn wir Einsteiger-Desktop-Systeme betrachten, dann wird die Sicherheit anstatt durch einen Virenscanner weit mehr erhoeht wenn man all die Convenience-Features standardmaessig abschaltet: automatische Vorschaufunktionen, automatisches Ausfuehren von Office-Macros, klickbare Links in Emails, ausfuehren von Dateianhaengen, Installation von Software von ausserhalb des Debian-Repos, ...

Man kann nunmal nicht alles drei haben: Einfach -- Sicher -- Bequem. ... auch wenn das Virenscannerhersteller und auch sonst alle Anbieter von Systemsoftware fuer Endanwender so darstellen. Waehle zwei davon und nimm Einschraenkungen bei der dritten Komponente in Kauf -- das ist die Realitaet.

[debilian]

ausserdem würde ich als erstes die Ports schliessen, die nicht gebraucht werden.
Das führt dazu, dass das Wissen über Dienste und deren Funktionen in den Fokus des Anwenders gerät.

Was zu ist, kann erstmal nicht ausgenutzt werden - bezüglich Ports...

[Meillo]

ausserdem würde ich als erstes die Ports schliessen, die nicht gebraucht werden.
Das führt dazu, dass das Wissen über Dienste und deren Funktionen in den Fokus des Anwenders gerät.

Was zu ist, kann erstmal nicht ausgenutzt werden - bezüglich Ports...

Das sind halt eben Kompromisse, bei denen man sich entscheiden muss, was man haben will, denn: Wenn die Ports zu sind, ist das System weniger bequem, da man erst Ports oeffnen muss, bevor man manche Anwendungen betreiben kann. Und es ist weniger einfach, da man zuerst verstanden haben muss was Ports sind und wie eine Firewall arbeitet, um sie konfigurieren zu koennen. Dafuer ist das System sicherer.

Wenn Sicherheit das einzige Ziel ist, dann wird das System sehr umstaendlich benutzbar werden.

Es muss stets ein Kompromiss getroffen werden und das bedeutet, dass man Nachteile bei der Sicherheit, Einfachheit und Bequemlichkeit in Kauf nehmen wird ... in unterschiedlicher Groesse, je nach den eigenen Prioritaeten (die zur Wahl unterschiedlicher Distributionen fuehrt).

Auch die verschiedenen Sicherheitsmassnahmen (Firewall, Virenscanner, deaktiverte Vorschau, etc.) haben unterschiedliche Kompromisse was den Sicherheitszugewinn in die dafuer in Kauf zu nehmende Komplexitaet/Lernbedarf und Umstaendlichkeit angeht. Selten ist eine Massnahme fuer alle die beste.

Es gilt, Kompromisse zu treffen und das geht nicht ohne ein gewisses Verstaendnis der inhaerenten Komplexitaet des Sachverhalts. (Einfach und bequem und sicher zugleich kann es nur durch starkes Beschraenken der Nutzungsmoeglichkeiten werden. Wobei das dann schon wieder den Faktor Bequemlichkeit reduziert.)

[uname]

Es ist Quatsch Ports zu schließen, die nicht belegt sind. Ports die nicht belegt sind, können auch nicht erreicht werden. Siehe irgendwo der Thread über netcat und Socketprogrammierung von heute. Vielleicht solltest ihr das einfach mal in C programieren.

Ja ein Angreifer könnte theoretisch von innen auf dem Port eine Anwendung (Server-Port) laufen lassen und dann von außen darauf zugreifen. Ja, dann wäre die Sperre z. B. auf der Firewall ganz nett. Aber warum? Es ist doch viel einfacher für den Hacker - wie bei Fernwartungstrojanern - die Verbindung nach außen (Port im Internet) aufzubauen und dann rückwärts dadurch zu gehen. Da stört dann die restricktive Firewall und NAT nicht mehr. Der Angreifer lacht doch nur über eure Argumente Ports von außen zu schließen. Angriffe in ge-NATtete Netzwerke müssen zudem immer von innen erfolgen. Das Problem sind nicht die Ports, sondern der Schadcode, den man auf Clients installiert ... meistens unter Windows.

Und falls euch doch die Ports von außen wichtig sind, dann patcht lieber mal eure DSL-Router. Denn nur die sind überhaupt von außen erreichbar.

[DeletedUserReAsG]

Aktuelle Argumente, Teil 1: https://www.heise.de/news/Virenscanner- ... 35809.html

[DaCoda]

Also für Leute die immernoch meinen, für Linux gäbe es keine Viren. Hier eine nette News.
Im ersten halben Jahr 2022 gab es für Linux 1,7 Mio. verschiedene neue Viren. https://www.it-markt.ch/cybersecurity/2 ... s-noch-nie
Aus diesem Grund bin ich für ein standardmäßiges Antivirenprogramm in der ganz normalen debian stable Version.

[DeletedUserReAsG]

Du solltest zunächst lesen, was du verlinkst. Hast du mal geguckt, was für ein Laden derdiedas als Quelle genannte „Atlas VPN” ist? Ein Laden, der FUD als legitimes Werbemittel anzusehen scheint, um seine Pseudosicherheit verkaufen zu können.

Es ist zudem auch von 1,7Mio „Schad-Programmen“ die Rede. Wieviele davon Viren sind, steht da nicht; ebenso wird auch nicht weiter drauf eingegangen, ob die altbekannte Forkbombe nicht auch in siebentausenddreihundertzweiundvierzig Iterationen darunter ist. Wenn du seriös mit solchen „Quellen“ argumentieren willst, dann verlinkst du das Dokument, in dem die besagten Schadprogramme aufgeführt sind. Dann kann sich jeder selbst ’n Bild machen, um was es da überhaupt geht …

Wie auch immer: hindert dich keiner daran, dir soviel Schlangenöl draufzutun, wie du willst, und aller Welt Rootrechte auf deinem System einzuräumen. Hindert dich aber hoffentlich jemand daran, auch nur einen anderen User zwangszubeglücken. Wir sind hier nicht in China oder Katar.

[TRex]

Dann finde mal jemanden, der Befall hatte und erkläre den Angriffsvektor.

[uname]

Aus diesem Grund bin ich für ein standardmäßiges Antivirenprogramm in der ganz normalen debian stable Version

Es reicht vollkommen aus, wenn das Debian-Repository https://www.debian.org/distrib/packages gescannt wird bzw. sich die Maintainer kümmern siehe https://www.debian.org/security/ . Ein wenig wie bei Android. Da kümmert sich ja auch Google um die Qualität der Pakete im Google Play Store. Schadcode über Anwendungsdaten reinbekommen ist eher unwahrscheinlich.

Bei Windows ist das anders:
Da sucht man per Google eine Software und klickt die erste Software an. Leider ist die Werbung dann oft von Malware-Firmen geschaltet. Das ist bei Debian kaum möglich. In der Softwareentwicklung nutzt man im Übrigen schon Open Source Scanner. Also wenn du den ganzen Tag Software von GitHub ziehst, wäre es vielleicht eine Überlegung wert. Aber glaubst du ein Virenscanner findet einen "Schadcode" wenn die Software z. B. als Funktion die Formatierung der Festplatte enthält? Ich denke eher nicht.

[inne]

Dann finde mal jemanden, der Befall hatte und erkläre den Angriffsvektor.

Es gabe mal den Fall, da hat Facebook in Debian genauer Tails eine Lücke gesucht und gefunden um einem das Handwerk zu legen:
https://www.heise.de/news/Facebook-gab- ... 81943.html

Hilft jetzt aber auch kein Vierscanner dagegen

Im Postfach ist ab un zu mal was, aber nur Windows soweit ich das kenne.

[MSfree]

Ein wenig wie bei Android. Da kümmert sich ja auch Google um die Qualität der Pakete im Google Play Store.

Nein, das insteressiert Google überhaupt nicht, solange sie ihre Provision für die Käufe kassieren können:
https://www.heise.de/news/Trojaner-Harl ... 73522.html

Das sieht bei Apple übrigens auchnicht viel besser aus.

Schadcode über Anwendungsdaten reinbekommen ist eher unwahrscheinlich.

Das Ausnutzen von Programmierfehlern, um über Anwendungsdaten Pufferüberläufe zu provozieren, ist eine der beliebtesten Methoden, Schadsoftware in Systeme zu bekommen.

Also wenn du den ganzen Tag Software von GitHub ziehst, wäre es vielleicht eine Überlegung wert.

Git wird genutzt, um Quellcode zu beziehen. Virenscanner untersuchen aber keinen Quellcode. AV-Scanner sind hier also noch nutzloser als ohnehin schon.

[reox]

Also wenn du den ganzen Tag Software von GitHub ziehst, wäre es vielleicht eine Überlegung wert.

Git wird genutzt, um Quellcode zu beziehen. Virenscanner untersuchen aber keinen Quellcode. AV-Scanner sind hier also noch nutzloser als ohnehin schon.

Doch: Viele Scanner untersuchen auch scriptsprachen, nachdem auch schon unter Windows die ein oder andere Malware einen python interpreter nachläd und .py files ausführt
JavaScript, VB, PowerShell, usw wird ebenfalls von vielen gescannt.

[uname]

Nein, das insteressiert Google überhaupt nicht, solange sie ihre Provision für die Käufe kassieren können:
https://www.heise.de/news/Trojaner-Harl ... 73522.html

Das stimmt. Aber es ist vollkommen unnötig Kaspersky zu installieren.
Google müsste nur einmal den Store durchscannen. Die Software ist auf allen Millarden Androiden identisch.

Vielleicht ist nur Google Protect schlecht.

Google Protect:
https://www.android.com/intl/de_de//play-protect/

[DaCoda]

Nur mal so zur info. Der Code auf eurer debian Installation stammt wahrscheinlich aus 1000en verschiedenen Gitrepositories und etlichen package Maintainern.
Es müsste nur einer dieser 10000 Leute auf die Idee kommen Schadcode einzuschleusen. Zb in Form einer bewussten Sicherheitslücke. Wahrscheinlich wird das auch regelmäßig gemacht und später heißt es "Wir haben einer kritische Sicherheitslücke geschlossen" und unten in der Taskleiste habt ihr einen roten Punkt. Dass hier Schabernack getrieben wird kommt nie raus.
Nur mal so zur absoluten Sicherheit bei debian. LoL

[DaCoda]

Eine schwere Sicherheitslücke kann schonmal 1 Mio. € wert sein. Ist doch klar, dass hier manche Programmiere schwach werden.

[DeletedUserReAsG]

Nur mal so zur absoluten Sicherheit bei debian. LoL

Quote doch bitte den Beitrag in diesem Thread, auf den du dich mit der Behauptung, jemand hätte was von absoluter Sicherheit in Debian oder sonstwo geschrieben, beziehst. LöL

[dasebastian]

Ist doch öde.

Wie auch immer: hindert dich keiner daran, dir soviel Schlangenöl draufzutun, wie du willst, und aller Welt Rootrechte auf deinem System einzuräumen. Hindert dich aber hoffentlich jemand daran, auch nur einen anderen User zwangszubeglücken. Wir sind hier nicht in China oder Katar.

+1

[Tintom]

Der Code auf eurer debian Installation stammt wahrscheinlich aus 1000en verschiedenen Gitrepositories und etlichen package Maintainern.
Es müsste nur einer dieser 10000 Leute auf die Idee kommen Schadcode einzuschleusen.

Sofern du ausschließlich binäre Blobs aus non-free verwendest könnte ich hier zustimmen. Die restliche Software aber liegt offen, die Git-Repos sind vollständig einsehbar. Deswegen können da viele Augen drauf gucken und ein einzelner mit bösen Absichten hat es schwer. Und je populärer die eingesetzte Software ist, desto mehr Augen schauen drauf. Spontan fällt mir dazu das Beispiel einer Universität ein, die wegen des Einführens vorsätzlicher Sicherheitslücken von der Kernelentwicklung ausgeschlossen wurde.

Dein Angriffszenario ist nicht auszuschließen, sichere Software gibt es schlicht nicht. Nirgends. Die Frage ist dann aber, ob du dir mit deinem Antivirenprogramm nicht noch einen zusätzlichen Angriffspunkt auf deinem System schaffst, schließlich rennen die Dinger mit höchsten Systemrechten und sind - mit Ausnahme von clamav - auch wieder binäre, unkontrollierbare Blobs.

[cosinus]

Selbst unter Windows benötigt man nicht standardmäßig ein AV. Als ich vor Jahren noch Windows 2000/XP einsetzte, hab ich nie ein AV installiert und hatte nie Sicherheitsprobleme. Eben aus dem einfachen Grund, dass elementare Sicherheitsmaßnahmen schon die Sicherheit ausmachten. Das kann kein AV der Welt kompensieren(*). Bei den Top5-Maßnahmen, die echte Experten empfehlen und umsetzen, ist ein AV nichtmal dabei.

(*) (edit: ich meinte natürlich, das Weglassen dieser elementaren Maßnahmen kann NICHT durch ein AV kompensiert werden, noch schlimmer wirds, wenn Laien dann meinen lieber noch ein zweites AV zu installieren weil sie keinen Bock drauf haben, sich um die Security zu kümmern)

[fischig]

Ohne Urheberangabe ist dein Bildchen wertlos. Ich kann mir die „Grafikadresse kopieren“ und bin dann genauso schlau wie ohne. Soviel zur „Expertenechtheit".

[electri]

Wozu soll das gut sein?

Provokation/Trollerei, nehme ich an. Ist ja nicht so, als würde es nicht schon ’zig Threads zu dem Thema geben.

Ich würde ähnlich formulieren: Hört ihr nicht das Rattern der Bartwickelmaschine im Keller beim Thema Antivirus für Linux?

Cosinus' Bild finde ich klasse. Sehr plakativ.

Zum Thema Angriffe auf PC-Systeme gibt es was ganz druckfrisches: Auch wenn einige hier Heise das journalistische bzw. technische Niveau der Bild attestieren, ist das Titelthema in der ct 24/2022: "So schützen sie ihr Windows". Auf S. 23 mittlere Spalte erster Absatz wird folgender Grundschutz empfohlen: Updates, 2FA, und Vorsicht bei Mails. Über Antivirensoftware stehe da eher wenig. Und ja, mir ist durchaus bewusst, dass es nicht genau das Thema des Threads ist.

[cosinus]

Ohne Urheberangabe ist dein Bildchen wertlos. Ich kann mir die „Grafikadresse kopieren“ und bin dann genauso schlau wie ohne. Soviel zur „Expertenechtheit".

Ich wusste ich hab was vergessen
Das Bild stammt aus einem älteren heise Artikel https://www.heise.de/hintergrund/Ex-Fir ... 09009.html

[reox]

Nur mal so zur info. Der Code auf eurer debian Installation stammt wahrscheinlich aus 1000en verschiedenen Gitrepositories und etlichen package Maintainern.
Es müsste nur einer dieser 10000 Leute auf die Idee kommen Schadcode einzuschleusen. Zb in Form einer bewussten Sicherheitslücke. Wahrscheinlich wird das auch regelmäßig gemacht und später heißt es "Wir haben einer kritische Sicherheitslücke geschlossen" und unten in der Taskleiste habt ihr einen roten Punkt. Dass hier Schabernack getrieben wird kommt nie raus.
Nur mal so zur absoluten Sicherheit bei debian. LoL

Dann ist es ja gut wenn ich debian stable verwende - da muss der Angreifer nämlich viele Jahre warten bis der Code mal dort ist und ist dann sicher schon nutzlos *scnr*

[fischig]

@cosinus
Danke!

[cosinus]

@cosinus
Danke!

You're Welcome!