Emails
[EasyLinux-Ubuntu] Viren
Uwe Herrmuth <u[punkt]herrmuth[bei]gmx[punkt]de>, Donnerstag, 13. Juni 2013 09:33:30
Ein/Ausklappen
-
Re: [EasyLinux-Ubuntu] Viren
Rainer <spots4as[bei]gmx[punkt]de>, Donnerstag, 13. Juni 2013 09:56:11
Ein/Ausklappen
Re: [EasyLinux-Ubuntu] Viren
Heiko Ißleib <heiko[punkt]issleib[bei]gmail[punkt]com>, Donnerstag, 13. Juni 2013 11:47:59
Ein/Ausklappen
-
Re: [EasyLinux-Ubuntu] Viren
Joerg Guenther <nujsletter[bei]arcor[punkt]de>, Donnerstag, 13. Juni 2013 12:23:07
Ein/Ausklappen
Re: [EasyLinux-Ubuntu] Viren
Uwe Herrmuth <u[punkt]herrmuth[bei]gmx[punkt]de>, Donnerstag, 13. Juni 2013 12:46:25
Ein/Ausklappen
-
Re: [EasyLinux-Ubuntu] Viren
Heiko Ißleib <heiko[punkt]issleib[bei]gmail[punkt]com>, Freitag, 14. Juni 2013 02:45:17
Ein/Ausklappen
Re: [EasyLinux-Ubuntu] Viren
Wolfgang Völker, Donnerstag, 13. Juni 2013 15:04:35
Ein/Ausklappen
-
Re: [EasyLinux-Ubuntu] Viren
Uwe Herrmuth <u[punkt]herrmuth[bei]gmx[punkt]de>, Donnerstag, 13. Juni 2013 18:55:56
Ein/Ausklappen
Re: [EasyLinux-Ubuntu] Viren
"H[punkt]-Stefan Neumeyer" <hsn[punkt]debian_user[bei]arcor[punkt]de>, Donnerstag, 13. Juni 2013 18:19:20
Ein/Ausklappen
-
Re: [EasyLinux-Ubuntu] Viren
Uwe Herrmuth <u[punkt]herrmuth[bei]gmx[punkt]de>, Donnerstag, 13. Juni 2013 19:04:44
Ein/Ausklappen
-
Re: [EasyLinux-Ubuntu] Viren
"H[punkt]-Stefan Neumeyer" <hsn[punkt]debian_user[bei]arcor[punkt]de>, Donnerstag, 13. Juni 2013 19:36:48
Ein/Ausklappen
Re: [EasyLinux-Ubuntu] Viren
Joachim Klein <ceproutti[bei]blah[punkt]ch>, Freitag, 14. Juni 2013 02:57:05
Ein/Ausklappen
-
Re: [EasyLinux-Ubuntu] Viren
Richard Kraut, Freitag, 14. Juni 2013 20:58:24
Ein/Ausklappen
Re: [EasyLinux-Ubuntu] Viren
Uwe Herrmuth <u[punkt]herrmuth[bei]gmx[punkt]de>, Samstag, 15. Juni 2013 12:36:34
Ein/Ausklappen
-
Re: [EasyLinux-Ubuntu] Viren
Joachim Klein <ceproutti[bei]blah[punkt]ch>, Samstag, 15. Juni 2013 20:43:42
Ein/Ausklappen
Re: [EasyLinux-Ubuntu] Viren
Richard Kraut, Freitag, 14. Juni 2013 22:10:20
Ein/Ausklappen

Am Donnerstag, den 13.06.2013, 09:33 +0200 schrieb Uwe Herrmuth:

> bei uns in der Firma (ausschließlich Windows-Rechner) hat man

> gerade mal wieder entdeckt, dass man sich ja vor Virenbefall schützen

> muss.

OK. Bestimmt Blitzmerker ;-).

Virenscanner der Wahl auf alle Server und PCs, mit dem Netz verbunden

sind oder sonst irgendwie mit Daten/Dateien von extern in Berührung

kommen könnten.

Daneben natürlich noch immer die aktuellen Updates für das verwendete OS

sowie die darauf installierten Programme einspielen, nicht zu vergessen

die Virensignaturen des AVs.

Alle Rechner, die ins Internet dürfen oder können sollen _nur_ über die

Firewall und Proxy "nach Draußen" lassen. Auf den Rechnern, die hinter

einer entsprechenden Firmenfirewall stehen, wird hingegen keine eigene

'Personal-Firewall' benötigt.

> Da wir ziemlich viel Multimedia-Dateien auf Wechseldatenträgern

> von Kunden bekommen, sind die natürlich eine potenzielle Gefahrenquelle

> und man ist gerade dabei, zu überlegen wie man die Gefahr am besten

> bannt. Dabei kommen die abenteuerlichsten Ideen zu Tage.

Für solche Dinge hatte einer der Admins in dem Unternehmen, für das ich

vor gut einem halben Jahr noch tätig war, einen SFTP-Server in einer

kleinen VM extra für solche Zwecke eingerichtet.

Es wurden zwar keine Multimediadateien mit unseren Kunden ausgetauscht,

sondern diverse Excel-Tabellen, Präsentationen, Telefon- und

Projektdaten, Protokolle, Katalogdateien, diverse XMLs etc. Je nachdem,

was der Kunde von uns gefordert oder wir vom Kunden angefordert haben.

Der Server stand unter den wachsamen Augen einer großen Kaspersky

Enterprise-Lösung (fragt jetzt bitte nicht nach der genauen

Produktbezeichnung - ich weiß es nicht). Zugang zum jeweiligen

FTP-Verzeichnis wurde nur für eine zeitlich begrenzte Spanne gewährt.

Ach ja. Der Server war etwas 'speziell' konfiguriert.

Er war nicht über die FTP/SFTP-Standardports zu erreichen und der Kunde

bekam von uns ein fertiges .msi-Installerpaket von FileZilla für

Windows, das bereits die passende Konfiguration für den Zugriff

enthielt.

Die Zugangsdaten wurden separat mitgeteilt. Von unserem Admin wurde

jedoch noch mehr getrickst. Zumindest weiß ich von einem Kunden, dass es

dieser mit der "normalen" Windowsversion von FileZilla versucht hatte

und damit gescheitert ist. Was genau - auch hier keine Ahnung.

> Ist es bei den heutigen MIME-Verknüpfungen überhaupt noch möglich einen

> z.B. in einer wav-Datei hinterlegten Schad-Code sozusagen aus Versehen

> auszuführen? Die neueren Windows-Versionen (ab welcher eigentlich?)

> erkennen den Datei-Typ doch nicht mehr an der Dateiendung, sondern am

> Header. D.h. ich kann eine ausführbare Datei nicht mehr als WAV

> tarnen, die dann durch einen Doppelklick ausgeführt werden würde.

> Dann dürfte die die eigentliche Gefahr doch "nur noch" von

> exe/dll/sys/usw.-Dateien und von den Autostart-Einträgen auf den

> Wechseldatenträgern ausgehen. Sehe ich das richtig? Was sagt Ihr dazu?

Ist hier quasi genau so, wie mit Trojanern in E-Mails. Die .exe-Endung

ist zwar vorhanden aber es wurden evtl. so viele Leerzeichen zwischen

foo.wav.exe, also direkt vor dem zweiten Punkt, eingefügt, dass dies im

Explorer direkt nicht mehr ersichtlich ist. Nur über die Eigenschaften

der Datei im Dateityp lässt sich erkennen, dass dies in Wahrheit ein

ausführbares Programm ist.

Anders sieht es aus, falls eine Multimedia-Datei so manipuliert wurde,

dass bspw. in einem Mediaplayer eine vorhandene Schwachstelle gezielt

ausgenutzt wird. Hierüber könnte sich dann der Angreifer oder ein

nachgeladenes Schadprogramm evtl. höhere Rechte verschaffen.

> Wenn ich da falsch liege, gibt es die Überlegung, einen RaspberryPi

> sozusagen als Virenscanner im Hosentaschenformat aufzusetzen, der beim

> Anschluss eines Wechseldatenträgers an den USB-Port, die darauf

> befindlichen Dateien mit Clamav abklopft. Hält jemand das für machbar?

Für machbar schon. Aber 1. ist der ARM-Prozessor des RaspberryPi kein

Intel Core und kein AMD Phenom Prozessor, was die Performance angeht und

2. kann es die Scanengine von clamav nicht ansatzweise mit etablierten

Lösungen aufnehmen.

--

MfG Richi

PS: Bitte stets an die Liste antworten.

Auf PMs wird von mir generell nicht reagiert.

-
Re: [EasyLinux-Ubuntu] Viren
Uwe Herrmuth <u[punkt]herrmuth[bei]gmx[punkt]de>, Samstag, 15. Juni 2013 13:00:03
Ein/Ausklappen