Seit meinem Beitrag zur Sinnhaftigkeit von Virenscannern unter Linux sind mittlerweile über vier Jahre vergangen. Der Beitrag gehört nach wie vor zu den täglich am häufigsten aufgerufenen und ist mit gewaltigem Abstand der am meisten positiv bewertete Beitrag dieser Webseite. Aktuelle Entwicklungen machen nun ein Update notwendig. Doch vorab: es gibt weder Grund zur Panik noch zur Installation eines Virenscanners unter Linux.

In der aktuellen Berichterstattung machen zwei Schadprogramme die Runde, die auf den Linux-Desktop zugeschnitten sind, also Linux auf Anwenderrechnern, nicht auf Servern. Die beiden Programme heißen EvilGnome und Winnti, wobei sich der zweite Name auf eine Hackergruppe bezieht, deren bislang nicht individuell benannte Schadsoftware wohl in Windows- und Linuxversionen vorliegt.

Entgegen meiner ursprünglichen Vermutung 2016, wir würden in absehbarer Zeit einen Erpressungstrojaner für den Linux-Desktop zu Gesicht bekommen, handelt es sich hier um Spionageprogramme, die Bildschirmfotos anfertigen, Tastatureingaben protokollieren und vergleichbare Funktionen durchführen können, also Werkzeuge für gezielte Angriffe auf bestimmte Ziele, die im Kontext normaler Benutzerrechte funktionieren dürften. Es gibt Hinweise darauf, dass solche Software mittels sogenannter Spear Phishing-Techniken verbreitet wird, also dem gezielten Angriff auf eine bestimmte Firma oder gar einen bestimmten Anwender, nicht mit Massenverbreitungsmitteln wie E-Mail-Kampagnen oder Drive-By Downloads.

Beim Spear Phishing wird versucht, das Ziel zur Installation der Schadsoftware zu bewegen, indem mehr oder weniger glaubhaft begründet wird, warum das getan werden sollte. Selbst der Heise-Verlag ist dem bereits zum Opfer gefallen, wenn auch hier über ein MS Office-Dokument, das einer vermeintlichen Antwort in einem laufenden Dialog per E-Mail beigefügt war. Hier liegt auch gleich der erste Grund dafür, warum Sorge vorläufig weiterhin unbegründet ist: wie wahrscheinlich ist es, dass Sie zum Opfer eines gezielten Angriffs werden? Bisher wurden jedenfalls politische und wirtschaftliche Ziele genannt, keine privaten Individuen. Und zumindest EvilGnome scheint auch noch weit davon entfernt zu sein, ausgereift zu sein.

Es gibt jedoch auch technische Gründe, die gegen eine weite Verbreitung dieser Software sprechen. Nach wie vor gilt, dass man als Linuxbenutzer in der Regel seine Software aus einem Repositorium (Marketingsprech: App Store) erhält und nicht irgendwo herunterlädt, geschweige denn per Mail zugesendet bekommt. Es ist zwar nicht unmöglich, ein Repositorium zu infizieren, aber deutlich schwieriger und kurzlebiger.

Ein E-Mail-Anhang ist zwar eine gezielte Alternative, jedoch gilt nach wie vor, dass man keine direkt ausführbaren Linux-Programme per Mail übertragen kann. Diese müssen erst selbst zur Ausführung gebracht werden oder über den Paketmanager der Distribution installiert werden. Beides ist eine größere Hürde als das Erlauben eines Office-Makros oder gar der Doppelklick auf eine Datei mit ausführbarem Format, die man aufgrund ausgeblendeter oder obskurer Dateiendung nicht erkannt hat.

Über winnti konnte ich nicht viel finden, aber EvilGnome ist eine Art Erweiterung für den Gnome Desktop. Inwieweit diese auf Linuxsystemen überhaupt funktioniert, die Gnome nicht einsetzen, ist bislang nicht klar. Aber ich denke, dass auch die Vielschichtigkeit von Linux, die dem Anwender große Freiheit zum Beispiel bei der Wahl der grafischen Oberfläche lässt, weiterhin dafür sorgen wird, dass flächendeckende Infektionen schwierig umzusetzen sein werden.

Nach wie vor bleibe ich bei meiner Ansicht, dass ein Virenscanner für Linux sinnlos ist. Es ist nach wie vor nicht wahrscheinlich, dass ein solcher Virenscanner überhaupt je Signaturen für die genannten Programme erhält. Und der Ballast der Windows-Signaturen bleibt.

Als abschließende Anmerkung möchte ich noch hinzufügen, dass Microsoft im Mai 2019 selbst eine Vision von einem modernen Betriebssystem skizziert hat, was gemeinhin als Hinweis auf das nächste (und damit eben nicht das aktuelle und frühere) Windows verstanden wurde. Demnach sollte ein solches System neben Anwenderfreundlichkeit folgende technische Voraussetzungen erfüllen:

  • Updates sollen unauffällig und ohne Unterbrechung im Hintergrund installiert werden, ohne dauernd Neustarts zu erfordern.
  • Anwendungen und das System sollen sauber auf Prozessebene voneinander getrennt werden.

Beide Forderungen erfüllt Linux (und nicht nur Linux, sondern auch z.B. MacOS) schon seit Ewigkeiten. Eigentlich ist es gerade Windows, das als einziges System diesen Grad an „Modernität“ bis heute nicht erreicht hat. Was in der Liste noch fehlt, ist eine saubere und erzwungene Trennung von Administrations- und Anwenderebene. Dann könnte es selbst Microsoft mal irgendwann gelingen, ein modernes und sicheres Betriebssystem auf den Markt zu bringen.

2 Kommentare

  1. Als anfänglicher Linuxnutzer finde ich diesen Artikel sehr interessant und amüsant – …Windows wird „modern“, so wie es Linux schon seit Ewigkeiten ist.

    Mit den AV-Systemen scheint es wohl so wie mit den VPN-Anbietern zu sein – es glänzt mehr als es sollte und „dürfte“.

    Schniggidibums

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert