Erkennung des Virus Linux/Rst-B
Sophos stellt ein Tool zur Erkennung des Linux-Virus Rst-B bereit. Dieser Artikel analysiert das Tool und gibt einige Hintergrundinformationen.
Das Programm lässt sich nun ausführen mit
./detection_tool [-v] <em>Pfad</em>
Die Option -v zeigt den Fortschritt der Untersuchungen an, die recht schnell vor sich gehen. Pfad ist das Verzeichnis, das geprüft werden soll. Das Tool prüft immer auch alle Unterverzeichnisse rekursiv mit. Aus diesem Grund sollte man nicht das Wurzelverzeichnis / angeben, denn es kann negative Effekte haben, wenn spezielle Dateien in /dev, /proc oder /sys mitgeprüft werden.
Das Tool kann als normaler Benutzer laufen. Da manche Programmdateien aber nur von Root oder speziellen Benutzern geöffnet werden können, muss man es teilweise mit Root-Rechten laufen lassen. Das ist jedoch, wie oben beschrieben, ungefährlich, solange man sich von »speziellen« Dateien wie Device-Dateien und Pipes fernhält. Wenn der Rechner andere Aufgaben zu erfüllen hat, die man nicht zu sehr stören will, kann man ein »nice« vor den Aufruf setzen.
Bei all meinen Tests wurde kein Vorkommen von Linux/Rst-B gefunden, was natürlich nicht repräsentativ ist.
Fazit
Das Erkennungs-Tool wurde analysiert, eine Aufgabe, die von jedem mit guten C-Kenntnissen problemlos gelöst werden kann. Möglich wurde die Analyse dadurch, dass das Programm mit dem Quellcode unter der BSD-Lizenz veröffentlicht wurde. Ohne diese Möglichkeit hätte man nur die Wahl, dem Hersteller zu vertrauen oder auf das Programm zu verzichten.
Meiner Ansicht nach kann man das Erkennungs-Tool einmal laufen lassen, was sicher nicht schadet, und danach getrost vergessen. Sophos nutzte sein Blog dazu, für einen umfassenden Einsatz von Virenscannern zu werben. Doch Sicherheitsprobleme müssen durch grundlegende Konzepte gelöst werden und nicht durch Tools, die Ressourcen und Zeit kosten und selbst zum Sicherheitsproblem werden.
Sophos verdient wie viele andere Firmen ausgezeichnet an seinen Sicherheitsprodukten. Daher ist verständlich, dass es den Einsatz solcher Produkte bewirbt. Es ist auch nicht von der Hand zu weisen, dass es Viren, Trojaner, Angriffe und Einbrüche gibt. Sicherheit ist jedoch ein Prozess, kein Produkt. Produkte können im Einzelfall natürlich helfen, mehr Sicherheit zu erzielen, reichen jedoch für sich allein nie aus.
Wenn man die möglichen Einfallstore für Viren und Trojaner schließt, braucht man sich eigentlich keine Gedanken mehr über Virenscanner zu machen. Bei den meisten Linux-Distributionen sind Dienste, die man nicht benötigt, erst gar nicht installiert. Sollte doch einmal ein Dienst wie z.B. SSH vorhanden sein, sollte man ihn deinstallieren, wenn man ihn nicht benötigt. Zudem sollte die aktivierte Firewall dafür sorgen, dass kein Port von der Außenwelt her offen bleibt. Konsequent sichere Passwörter oder SSH-Schlüssel, Spamfilter bei der E-Mail, Meiden von fragwürdigen Webseiten und natürlich auch regelmäßiges Einspielen der Sicherheitsupdates beseitigen fast alle Gefahren im Vorfeld. Lösungen, die noch höhere Sicherheit bieten, SELinux zum Beispiel, haben noch keine weite Verbreitung gefunden, was sich aber hoffentlich noch ändern wird.
Allerdings gibt es die absolute Sicherheit letztlich nicht. Doch selbst wenn ein Angreifer einmal ins System einbrechen sollte, ist die Wahrscheinlichkeit, dass er auf einem gut gewarteten System Root-Rechte erlangt, sehr gering. Nur die Daten des betroffenen Benutzers sind in Gefahr, was mit einem Backup aber kein größeres Problem ist. Und wer kein ausreichendes Backup hat, bekommt im Fall des Falles, was er verdient.
Der Einsatz eines Virenscanners in gewissen Abständen kann trotzdem nichts schaden. Wenn man allerdings Anwender hat, denen kein verantwortungsvoller Umgang mit Downloads und anderen Dateien zuzutrauen ist, wird man kaum um einen regelmäßigen Einsatz herumkommen. Doch wenn schon, dann sollte man besser eine freie Lösung wie z.B. ClamAV wählen.
