Virenscanner-Info

virenscannere davon, dass jeder Softwareanbieter
> bei der Installation seines Produktes mitteilte, was er wo auf meiner
> Festplatte hinterlassen hat.
Mich würden eher Angaben zu den Programaktivitäten, vor allem bzgl.
einer Netzwerktätigkeit, interessieren. (Außerdem gehört der
Windows-Anwender gefragt, ob, wo und welche Verknüpfungen angelegt
werden sollen - bei einem Spielzeugrechner mag es ja noch angehen,
daß Spiel x in [Program Files]/x zu liegen kommt, aber ich mag keine
Kilometerlangen Menüs und ich mag keine Einträge mit Versteckspiel.
Ebenso gönne ich jedem einen Tritt an diverse empfindliche
Körperstellen, der sich /Datentypen/ - LOL - einfach unter den Nagel
reißt.)
> Es wäre bei Word und Co zwar eine etwas
> längere Datei ;-),
Man könnte ja auch einfach diejenige Liste, die ursprünglich zum OS
gehört hat, austauschen > könnte mir aber bei der Aufklärung helfen.
> Allerdings wollen Produzenten von Installationsüberwachern auch etwas
> verdienen. Aber ich werde die Datei sicherheitshalber mal umbenennen,
> wie es magictcs vorgeschlagen hat
Mach das. Und bei Lust und Laune kannst du dir mal die
Unix-Verwandtschaft ansehen. Da darf nämlich kein Programm mal eben
so irgend etwas in Systemverzeichnisse schreiben.
Franz

virenscannern guter Tag. Nachdem ich gemütlich gegen 10 Uhr
aufgestanden bin, habe ich, -wie jeden morgen-, mich mit meinem
Kaffee vor den Rechner gesetzt und heise.de angesteuert um
wissenswertes aus der Welt der Bits und Bytes zu erfahren.
Mit Schaum vor dem Mund und zittrigen Fingern klickte ich das heutige
Top-Thema an: “Kasperskys Unix-Virenscanner ermöglicht
Symlink-Attacke”. Auch wenn ich weder Kaspersky noch Unix nutze, war
mein Interesse geweckt und ich las mir die News trotzdem durch. Den
anschließenden Gang ins Forum hätte ich mir aber sparen sollen. Ich
habe selten soviel rote Farbe an den Wänden gesehen wie bei diesem
Thema. Wenn die Beiträge wenigstens witzig wären, oder niveauvoll,
(man kann auch stilvoll scheisse sein), dann hätten sie mir
wenigstens den Morgen in rigendeiner Weise versüßen können. Oder aber
sie hätten mich dazu angeregt etwas anderes zu schreiben als das
hier. Sind sie aber nicht! Es wird einfach nur blind drauf gekloppt
bis die Keule bricht und wenn sie es tut, dann nimmt man einfach eine
Neue. Liebes Tagebuch, hat sich Darwin vielleicht geirrt ? Treten wir
seit jahrmillionen blind auf der Stelle und drehen uns nur im Kreis ?
Es muss schon ein gewaltiger Sturm in den Köpfen der geistig Armen
toben. Mein Tag ist jedenfalls jetzt im Arsch…ich denke ich werde
jetzt mal runter nach ALDI gehen und mir irgendwas schmackhaftes aus
der Dose zum Mittag gönnen.

>
> > > > Und wie sollen private DAteien von Nutzern gescannt werden? (nicht
> > > > jeder setzt og r )!
> > >
> > > Mit der Benutzeridentitaet des Eigentuemers der Dateien natuerlich.
> >
> > Hilfe!
> > Das heißt Du mußt für JEDE Datei ersteinmal die effektive UID des
> > Prozesses ändern. Und dabei mußt Du das trotzdem noch von root aus
> > machen! d.h. soviel wie Du mußt nur in Deinem Stackoverflow (bzw.
> > anderen Fehler) noch die entsprechende rücksprung Routine einbauen.
> > Oder Du startest für jede Datei einen neuen Thread.
>
> … und zwar fuer jeden Benutzer, nicht fuer jede Datei…..
Das hieße aber Du mußt eines der folgenden Dinge machen:
a) für jeden Nutzer einen Thread offen haben während Du die Platte
durchsuchst
b) Für jeden Nutzer die komplette Platte nach Datein durchsuchen auf
denen er die entsprechenden Rechte besitzt.
c) Für jede Datei (Ok nur bei jedem WEchsel der ID) einen Switch der
ID machen.
Bei ohne weiteres mehreren 100 Benutzern ist a) eine ungeahnte
Speicehrverschwendung, b) braucht beliebig lange und c) hat einen
beliebigen Overhead.
Außerdem: Was machst Du mit Dateien die auf Ihre Rechte auf 111 oder
ähnlichem haben? Ersteinmal die Atribute ändern?
> > Eben. Apache braucht root-Rechte FÃœR EINE AKTION. Ein Virenscanner
> > für mehrere 10.000!
>
> Nein. Genau das darf nicht sein, dass ein Virenscanner fuer alle
> Aktionen die root-Rechte braucht. Design-Fehler, und nichts
> anderes…
Problem der Aufgabenstellung!
> > Aber eine riesige Menge an Kontext (bzw. ID)wechseln!!
> > Ich möchte nicht wissen was jede dieser Aktionen für Zeit benötigt.
> >
> Da keine “riesigen Mengen” an Kontextwechseln erforderlich sind,
> siehe oben, vergleichsweise wenig Rechenleistung.
Wie machst Du es denn dann, wenn Die IDs nicht “sauber” verteilt
genutzt werden. z.B. bei einer Webseite bei der eine Gruppe von
Leuten arbeitet und die DAteien immer 664 sind. Die Dateien gehören
verschiedenen Nutzern. Also entweder mehreere Threads gleichzeitig
nutzen (Wieviele kann der Kernel gleichzeitig?) oder doch dauernder
Nutzerwechsel.
> > > Fuer welche Gruppe muesste das Quarantaeneverzeichnis writeonly
> > > sein?
> >
> > Garnicht.
> > Charantaineverzeichniß wie /tmp Sticky 777 Sonst kannst Du es gleich
> > nach /dev/null legen.
> >
>
> WIE BITTE? Wer soll denn bitte noch lesend daraufzugreifen duerfen?
> Die Problematik ist doch eher vergleichbar mit der von
> /var/spool/mail als mit der von /tmp.
Auch bei mail darf der Besitzer lesen!
Wenn Du keine Leserechte einräumen willst dann kannst Du die DAtei
doch gleich löschen.
Und Schau Dir mal die Rechte von /var/spool/mail an!
> > > Bloedsinn…
> >
> > Wiso?
>
> Wie von Dir schon richtig festgestellt, angreifbar durch Ueberlaeufe
> von Puffern und (Ruecksprung-)Stapelspeichern.
Die Angreifbarkeit ist sehr gering, da die zu scannenden Files nicht
interpretiert werden sondern nur nach mustern gesucht wird. Ein
Pufferüberlauf ist deswegen keine Nachlässigkeit (wie in den meisten
anderen Fällen) sondern ein echter Programmierfehler (Ja ich weiß vor
einiger Zeit gab es das bei Onlinevirenscannern). Der einzige Fall
bei dem der Virenscanner einen variablen Puffer benötigt ist beim
einlesen von Dateinamen. Dies muß aber schon die Hauptinstanz machen
die ggf. überall leserechte hat.
> > So pauschal kann man das nicht sagen!
> Doch, leider….
eben nicht! s.u.
> > Es ist zwar richtig, daß einen neue Lücke eingebaut wurde, aber dafür
> > wurden auch eine Menge anderer geschlossen (nämlich die Viren,
> > Trojaner etc.) Ob das Netto die Sicherheit erniedrigt hat ist da eine
> Nun, wie wurde denn die Sicherheit erhoeht?
>
> Welche beschreibbaren Verzeichnisse, wie /home, /tmp/, /var, sind
> denn im Produktivbetreieb mit exec,dev,suid montiert?
wiso dev? wiso suid?
/tmp ist 1777 (Sticky ist hier die Lösung des Problems!)
/var/spool/mail ist i.a. auch 1777 wenn ich mich recht entsinne (habe
auf maildir umgestellt)
> > noch offene Frage. Vor allem weil zumindest auf den ersten Blick
> > keine übermäßige Gefahr bestand (”nur” DOS).
> Symlink-Attacken lassen sich zu weitaus mehr als zu DOS benutzen….
i.A. Ja, aber wenn Du das was geschrieben wird nicht kontrollieren
kannst (bzw. nur sehr begrenzt beeinflussen kannst) dann kannst Du
eben nicht viel mehr damit anfangen.
Tschau
Stm

virenscannerzept der Virenscanner mit zu akualisierenden
> > Virensignaturdateien doktort nur an den Symptomen herum:
>
> Andere Vorschläge? Und bitte kein “Longhorn” — Applikationen
- Mail-Viren:
. Mailprogramme dürfen grundsätzlich keinen Code ausführen, der per
Mail kommt.
. Wenn ein Programm per Mail verschickt werden soll, gesunden
Menschenverstand einschalten: Kenn ich den? wollte der mir was
schicken? weiss ich, um was es geht?
. Das Abspeichern und Ausführen von Mailanhängen muss so kompliziert
gestaltet sein, dass “aus Versehen drauf geklickt” nicht mehr in
Frage kommt. -> z.B. “TheBat”
- “bösartige” Webseiten:
. vernünftigen Browser benutzen
. aktiven Inhalt nicht generell zulassen
- TCP/IP Exploits:
. Windows sicher konfigurieren: http://www.linkblock.de
. Windows Update Service benutzen
. bei DSL: NAT-Router benutzen.
Trance
PS: Achja, die PersonalFirewalls könnt ihr dann gleich mitwegwerfen.

>
> > Ich würde so gar noch weiter gehen und sagen: Immer die ganz Datei
> > OnAccess scannen, wenn sie geöffnet wird, sollte man auch abschaffen.
> > Es reicht doch den Zugriff zu verweigern, wenn der *infizierte*
> > Inhalt von der Plattet gelesen wird. So wird der “Virus” zwar erst
> > auf der letzten Rille entdeckt, aber für die Performance iss es
> > zuträglich. Ein Tester würde das freilich nie verstehen und schon
> > hätte das Produkt eine schlechte Note und keine Chance am Markt.
>
> Fraglich ist, ob das möglich ist. Öffnet ein Prozess eine Datei,
> gehört sie ihm. Punktum. Dann kannst du scannen bis du tot umfällst,
> irgendwas verhindern kannst du dann nicht mehr.
Wenn der On-Access-Scanner im Dateisystemtreiber sitzt, dürfte das
doch eigentlich möglich sein, oder?

>virenscanner ich bedenke, vor was die Virenscaner den Nutzer alles beschützen
> > müssen, dann frage ich mich, wieviel RAM die inzwischen beanspruchen,
> > und wieviel CPU-Zeit sie so verbraten.
>
> Ich habe keinen residenten Virenscanner laufen und hatte trotzdem
> noch nie einen Virus. Wenn ich mal ein ausführbares Programm laden,
> dann checke ichs schnell per Scanner. Vor bösartigen Webseiten hat
> mich bisher Firefox (sowie NoScript), vor Windowslücken der Router
> geschützt. Es ist natürlich richtig, dass man das auf wichtigen
> Produktivsystemen anders handhaben sollte, aber am Privatrechner sehe
> ich kein Problem, solange man nicht irgendwelche Programme ohne Test
> startet.
Gerade auf einem Produktivsystem ist man doch viel sensibler.
Weder würde man daruaf rumbrowsen, noch Emails lesen oder
zweifelhafte PD-Software laufen lassen.
Und man hört ja gelegentlich von Problemen, die durch die
Virenscanner selbst verursacht werden.
Gerade auf einem Produktivsystem würde ich eher keinen Scanner laufen
lassen.
> > Merkt so ein Virenscanner, daß mein Winamp gepatcht ist, um dessen
> > Aktivitäten dann nicht weiter zu überwachen?
>
> Das Argument dreht sich im Kreis. Wenn du weisst, dass eine Lücke
> besteht, dann solltest du sie patche und brauchst den Scanner nicht.
> Der residente Scanner dient dazu, dass du auch vor Lücken geschützt
> bist, die du eben nicht kennst.
Aber die Viren werden ja immer mehr, und so wird die Liste der Viren,
die ein Scanner mit eintreffenden Dateien vergleicht immer länger.
Naja - wollte der Scanner manche Dateien deshalb nicht scannen, weil
er weiß, daß diese gepatcht sind, so müßte er ja auch eine Liste
verwalten, nämlich die der gepatchten Programme - da würde man wohl
kaum was sparen.
Und da einerseits die Virenscanner unterschiedlich sind, und
andererseits die Nutzerprofile, lassen sich Speicher- und CPU-Nutzung
schlecht vergleichen.
Soweit man hört ist die wohl zu vernachlässigen, solange der Scanner
nicht gerade meint gefordert zu sein, oder der berüchtigte Norton
ist.

Hi,
es gibt spezialisierte Linux Distros für schwachbrüstige Rechner.
Ich denke da an DSL(>http://www.damnsmalllinux.org) etwa. Ist in der
Standard Installation nur etwa 50 MB groß und würde damit sogar noch
in den Hauptspeicher
Deines Laptops passen. Ist aber an Debian angelehnt und nicht so
einfach wie
Ubuntu zu installieren. Ich meine mich zu erinnern, daß die
Festplatteninstallation irgendwo versteckt war.
Ubuntu oder Knoppix wirst Du mit nur 80 MB nicht installiert
bekommen.
Ubuntu setzt mindestens eine CPU mit ca. 500 MHz und 256 MB RAM
voraus.
Knoppix dürfte so ähnlich liegen.
Ich habe letztes Jahr mal ein ähnliches Projekt gewagt mit einem
Laptop (Pentium 133, 48 MB RAM) und Windows 95B. Ohne PFW.(Zonealarm
läuft nicht mehr auf Win95.) Ich war nicht lange im Netz, da fror der
Laptop regelmäßig ein. Vermutlich gibt es immer noch welche, die den
“Ping of Death” beherrschen, mit dem man Win95 “abschießen” kann.
Ich habe auch mal geschafft, mit einer TV Internetbox, Win98 und
Opera ins Internet zu kommen. 64 Mb und Analogmodem. Aber viel Spass
hat das nicht gemacht.
Das waren eher Lieferzeiten, bis sich eine moderne Internet Seite
auftat.
So traurig das ist, ich würde eher versuchen, über Ebay oder
Heisetreff ein etwas größeres Gerät für 1

>
> > So? Nenn mir mal bitte Daten, die Windows “vom Benutzer absperrt”,
> Kein Problem, davon gibts jede Menge.
>
> > mal abgesehen von unterschiedlichen Benutzerprofilen. Wenn du unter
> > Windows Admin-Rechte hast, hast du wie unter Linux Zugriff auf alle
> > Daten auf der Festplatte- auch wenn vielleicht nicht alles im
> > Explorer angezeigt wird.
> Falsch.
> Versuch mal in einem laufenden Windows ein Pagefile zu oeffnen. Oder
> Files wie
> $Volume, $MFT, $MFTMirr, $AttrDef u.s.w. auf NTFS Partitionen.
> Nein, der Admin unter NT/2k/XP hat nicht die gleichen Rechte wie
> root.
Sorry, Macallan.
Aber warum willst du ein Pagefile öffnen?
Das ist bereits windows-spezifisch exklusiv geöffnet
und ändert sich laufend.
Warum sollte ein solches Pagefile einsehbar sein?
Die Rechte des Admin sind Root.
Aber viele wissen nicht an ihre Rechte zu kommen.
( Bei Doppelpaß/Fußballsendung müßte ich wohl 3 Euro für
den Spruch zahlen. )
Deshalb sind Norton Ghost,Partition Magic auch
auch sinnvolles Zubehör geworden.
Einfach Tools, die den unbekannten Admin-Hintergrund
per Oberfläche für den Admin einschaubar machen.
Gut das sowas bei Linux transparenter,
wenn auch manuell etwas schwieriger,
gelöst worden ist.
Bunt kann es immer noch gemacht werden.
:)))

es-vergeben/”>virenscannerh flachem Sachverstand, sich hier Forenteilnehmer das
Recht herausnehmen eine Software zu kritisieren.
Leute, es handelt sich hier nur um einen Online-Virenscanner, der
eine temporäre und/oder vorrübergehende Notfall-Lösung darstellt.
In keinem Fall soll der Online-Scan eine vollständige
Antiviren-Lösung, egal von welchem Hersteller, ersetzen.
Im Ãœbrigen bieten auch andere Hersteller einen Online-Scan an,
zusätzlich zu ihrem Hauptprodukt.
Seht es einfach als kostenlose Service-Leistung Das dieser Scan über eine ActiveX-Application startet, sehe ich als
notwendiges Ãœbel (es geht halt nicht anders). Beim Aufruf hat man ja
die Wahl ob man dieses ActiveX zulassen möchte oder nicht.
Ich setze ESET-Software, sowie im privaten und in Unternehmen ein und
das schon seit Jahren. Es ist immer wieder schön, die Dankbarkeit der
Kunden zu erfahren - “endlich Virenfrei” - “endlich sinken die
Ausgaben” - “endlich laufen die Rechner wieder stabil und schnell”.
Noch kurz zum Thema Desktop-Firewalls …
ich weis jetzt zwar nicht was das mit dem Thema Virenscan zu tun hat
aber ich möchte hier mal eine kleine Anregung zum Nachdenken
einwerfen:
“Es ist doch wirklich toll zu merken, wenn die installierte Firewall
Alarm schlägt, das der Hacker bzw. eine kleine böse Viecherei längst
auf meinem Rechner sein Unwesen treibt” Na Bravo !
Warum es erst soweit kommen lassen ???
Investiert lieber mal in einen vernünftigen Router - dann gibt auch
kein Problem mit dem Nachbarn

>
> > Nepomux schrieb am 7. März 2004 2:56
> >
> > > So? Nenn mir mal bitte Daten, die Windows “vom Benutzer absperrt”,
> > Kein Problem, davon gibts jede Menge.
> >
> > > mal abgesehen von unterschiedlichen Benutzerprofilen. Wenn du unter
> > > Windows Admin-Rechte hast, hast du wie unter Linux Zugriff auf alle
> > > Daten auf der Festplatte- auch wenn vielleicht nicht alles im
> > > Explorer angezeigt wird.
> > Falsch.
> > Versuch mal in einem laufenden Windows ein Pagefile zu oeffnen. Oder
> > Files wie
> > $Volume, $MFT, $MFTMirr, $AttrDef u.s.w. auf NTFS Partitionen.
> > Nein, der Admin unter NT/2k/XP hat nicht die gleichen Rechte wie
> > root.
>
> Sorry, Macallan.
> Aber warum willst du ein Pagefile öffnen?
Darum geht es nicht - das war nur ein Beispiel fuer ein File, das du
auch als Admin nicht oeffnen kannst.
> Das ist bereits windows-spezifisch exklusiv geöffnet
> und ändert sich laufend.
Eben. Auf einem UNIX System koennte root so ein File oeffnen ( naja,
bei den meisten jedenfalls. AIX wehrt sich bei einigen… )
> Warum sollte ein solches Pagefile einsehbar sein?
Darum geht es nicht! Root kann sowas einsehen, damit hat der NT Admin
nicht die gleichen Rechte.
> Die Rechte des Admin sind Root.
Nein. Root darf alles, Admin darf potentiell (nach Aktivierung der
entsprechenden Privilegien) fast alles. Im NT-Kernel herumpfuschen
kann auch der Admin nur begrenzt.
> Aber viele wissen nicht an ihre Rechte zu kommen.
Zustimmung.