SpamassassinViren- und Spamschutz

Viren & Spam

Spamassassin

Noch bleibt Linux von der massiven Viren- und Spamplage der Microsoft-Welt verschont. Eine Tatsache, die Linux-Enthusiasten vor allem auf die im Vergleich zu Windows bessere Kernarchitektur und das sicherere Design zurückführen. Darin mag durchaus ein Körnchen Wahrheit liege. Historisch bedingt haben Unix-Rechner ein besser ausgebildetes Abwehrsystem als Windows. Von Anfang an als Multi-User-System konzipiert, schützt die Aufteilung zwischen normalen Nutzern und dem Superuser vor der unbedarften Manipulation systemkritischer Teile. Ein durch den Anwender eingeschlepptes Virus bleibt daher in seinen Möglichkeiten beschränkt.

Einen Vorteil für Linux sehen viele auch in der Variantenvielfalt von Unix und Linux. Linux ist nicht nur facettenreich, was die vielen Distributionen etwa von Debian, Suse, Red Hat oder Caldera betrifft. Es ist auch vielfältig bezüglich der Hardware. Der Virenprogrammcode läuft einfach nicht auf jeder CPU. Als Hauptursache, warum die Virenplage bei Linux ausbleibt, gilt aber die mangelnde Verbreitung von Linux. Findet das Virus nicht genug Rechner, die es infizieren kann, ist seine Ausbreitung eingeschränkt und seine Sterberate höher als die Infektionsrate. Es stirbt aus. Einen vergleichbaren Schaden wie das »I-love-you«-Virus, so die Vorstellung, könnte ein Linux-Virus nicht im entferntesten anrichten. Schließlich dürfen Sie nicht vergessen: Virenprogrammierer sind ehrgeizig und statusorientiert. Sie erreichen höhere Aufmerksamkeit, wenn der Schaden möglichst groß ist. Und das lässt sich weit besser auf den 90 Prozent Windows-Rechnern erreichen als auf den fünf Prozent Linux-Computern.

Gefahr droht

Spamassassin

Die Argumente sind plausibel, gehen jedoch an der Realität vorbei. Grundsätzlich spricht nichts dagegen, warum Linux von Viren und Würmern verschont bleiben sollte. Bereits zu Beginn der 80er- Jahre bewies das Urgestein der Computerviren- Geschichte Fred Cohen, dass auf Viren- und Spamschutz Unix-Systemen selbstreplizierende Software ? also das, was man heute Computervirus nennt ? realisierbar ist.

Sonstige Malware wie Trojaner oder Backdoors sind auf Linux-Systemen ähnlich möglich wie unter Windows. Shell Scripts können ebenso mächtig sein wie die bekannten Makroviren von der Windows- Plattform. So weist Cohen 1990 in seinem Buch »Computers Under Attack« darauf hin, dass Shell-Script-Viren mit weniger als 200 Bytes an Code realisierbar sind. Technisch betrachtet gibt es also keinen Grund, warum es Würmer und Viren nicht auch unter Linux geben sollte. 100 Linux-Viren sind mittlerweile bereits bekannt, darunter der »W32.Winux«, ein neuartiger Virus-Typ, der ausführbare Programme sowohl unter Windows- als auch Linux-Rechnern infiziert. Aktuelle Entwicklungen lassen die Virengefahr für Linux zudem in neuem Licht erscheinen. Denn mit der wachsenden Verbreitung im kommerziellen Umfeld und im öffentlichen Sektor steigt auch der Anreiz für Hacker, mit einem spektakulären Angriff von sich reden zu machen. Nimmt die Verbreitung von Linux weiter zu, sind mit großer Wahrscheinlichkeit ähnliche Attacken zu erwarten, wie sie bei Windows Tag für Tag Millionenfach Realität sind.

Angriffspunkte bei Linux

Spamassassin

Virenangriffe bei Linux sind an verschiedenen Stellen möglich. Da ist einmal das Format für ausführbare Binärdateien ELF (Executable Linking Format). Spätestens seitdem Winux sein Unwesen parallel unter Windows und Linux getrieben hat, ist klar: Unter Linux können ELF-Programme ganz ähnlich wie EXE-Dateien bei DOS/Windows infiziert werden. Zwar ist unter Linux der sich im Speicher selbst modifizierende Viruscode nicht möglich. Das Anhängen von weiteren Programmsegmenten ist jedoch kein Problem. Die Vermehrung ist über das Patchen von Kernel- Binaries zwar sehr aufwendig, tatsächlich aber mit etwas Ehrgeiz möglich. Ein Virenprogrammierer muss sich diese Mühe aber gar nicht machen. So kann ein Virus direkt die Binaries im Dateisystem infizieren. Daemons und Libraries bieten ebenfalls einfache Möglichkeiten für Angreifer. Wenn ein Virus einen Daemon, wie beispielsweise »sendmail«, infizieren kann, lässt er sich ohne viel Aufwand weiter verbreiten. Daemons bieten außerdem ein wahres Paradies für anschließende Hackerattacken.

Mailwürmer

Spamassassin

E-Mail-Viren sind außerdem nicht nur auf Outlook und Windows beschränkt. KMail, Netscape und Mozilla verwenden das gleiche Prinzip wie Outlook Express. Klicken Sie auf eine Anlage, wird diese automatisch geöffnet. Auch Starbasic von Staroffice für Linux ist nicht viel anders als VBA von Microsoft Office. Malware lässt sich damit spielend leicht ins System einschleusen.

Mit die am häufigsten genutzte Schwachstelle in Linux-Software ist die Ausnutzung von Buffer-Overflow-Fehlern in Programmen mit erweiterten Privilegien. Häufig achten Programmierer nicht darauf, dass bestimmte Pufferlängen nicht überschritten werden können ? auch das öffnet Viren Tür und Tor.

Systeme härten Die Gefahr ist also zweifellos gegeben. Und wird in Zukunft deutlich zunehmen. Wie können Sie sich schützen? Eines ist klar: Um sich vor Viren & Co zu wappnen, benötigen Sie mehr als Open- Source-Software: Die Hauptpfeiler eines optimalen Malware-Schutzes bestehen aus einer sicheren Systemkonfiguration, kontinuierlichen Überwachungsmaßnahmen, regelmäßigen Sicherheitsupdates sowie Viren- und Spamschutzsoftware. Eines vorneweg: Um es Viren- und Spam-Eindringlingen schwer zu machen, sollten Sie grundsätzlich nicht mit den Default- Installationen der gängigen Linux- Distributionen arbeiten.

Tools fördern Mißbrauch
Die Distributoren haben standardmäßig viele Tools eingebaut, die zwar die Nutzerfreundlichkeit von Linux erhöhen, gleichzeitig aber auch dem Missbrauch Tür und Tor öffnen. Eine Möglichkeit zum Schutz vor diesen Gefahren stellt der Einsatz eines gehärteten Linux-Systems dar. Der Administrator erreicht mit einem gehärteten System eine feinere Konfiguration und zumeist auch einen höheren Sicherheitsstandard. Die höhere Sicherheit wird allerdings mit einem größeren Administrationsaufwand erkauft. Denn Installation, Konfiguration und Wartung eines gehärteten Systems beanspruchen mehr Zeit. Sowohl Suse als auch Red Hat bieten zur Verbesserung der Datensicherheit so genannte Hardening-Scripte an, mit denen eine installierte Linux-Distribution auf Sicherheitsprobleme hin untersucht wird. Scripte wie »suse_hardening« erlauben das automatische Härten des Betriebssystems. Die nicht benötigten Tools werden deinstalliert und sicherheitsbedenkliche Konfigurationen abgeändert. Da viele Unternehmen aber aus Kostengründen Administratoren einsetzen, die damit nur wenig Erfahrung besitzen und keine speziellen Linux-Kenntnisse mitbringen, kommt diese Möglichkeit nur selten in Frage.

Konfiguration und Updates

Spamassassin

Eine zentrale Rolle bei der Viren- und Spambekämpfung kommt der Userverwaltung zu. Ein Computervirus, der mit root-Rechten gestartet wird, hat viele Entfaltungsmöglichkeiten und richtet möglicherweise schweren Schaden an. Auch andere Malware wie Backdoors oder Trojaner stellen mit Root-Rechten eine gravierende Gefahr für die Netzwerkumgebung dar. Gegen dieses Risiko hilft eine stringente Vergabe von Zugriffsrechten mit beschränkten Rechten zum Lesen, Schreiben und Löschen. Ein Computervirus unter eingeschränkten Zugriffsrechten verhungert auf einem gut verwalteten Linux- System. Um den Schaden möglichst gering halten, sollten Sie Root-Rechte deshalb wohlüberlegt definieren. Möchten Sie auch die Gefahr ausschließen, dass sich ein Angreifer Root-Rechte verschafft, bieten sich Linux-Intrusion-Detection- Systeme an.

Upd
ates und Patches
Ein weiterer Pfeiler des Virenschutzes sind aktuelle Updates und Patches. Das Aufspielen stellt sicher, dass das Netzwerk und andere Systeme auf dem neuesten Stand sind. Zu jedem System sollten Sie sicherheitsrelevante Meldungen beachten und entsprechende Bugfixes einspielen. Die beiden Linux-Würmer Ramen und Lion nutzten beispielsweise eine Sicherheitslücke im Domain-Name-Server Bind und infizierten Linux-Rechner. Sobald jedoch die vorhandenen Patches eingespielt wurden, blieben die Würmer machtlos. Die Sicherheitsupdates sollten Sie nur aus vertrauenswürdigen Quellen beziehen und vor der Installation einem Security- Check unterziehen. Der Red Hat Package Manager RPM (www.rpm.org) und das Advanced Packaging Tool APT (http://packages.debian.org/testing/admin/aptitude) von Debian verfügen bereits über eine vollständig integrierte Überprüfungsfunktion.

Virenschutz am Server und Client

Spamassassin

Den letzten Pfeiler des Virenschutzes bilden Antivirenprogramme. Dabei gilt: Virenschutz auf dem Linux-Server eines Netzwerks hat klare Vorteile gegenüber dem Einsatz von Antivirensoftware auf dem Client. Dies ist schon allein deshalb wichtig, weil in einem heterogenen Netzwerk, in dem etwa Samba als Server eingesetzt wird, auch infizierte Windows- Dateien auf einem Linux-Computer zwischengespeichert und weiterkopiert werden können. Kommerzielle Hersteller von Antivirus- Software und anderer Schutzsoftware bieten spezielle Produkte, die den Mail-, Web- und FTP-Verkehr überwachen. Besonders wichtig ist der Virenschutz am E-Mail-Gateway ? also die Überprüfung ankommender und abgehender Mails auf Viren. Hier hat sich der Open-Source-Mail- Virus-Scanner Amavis (siehe Kasten auf Seite 30) einen guten Namen gemacht. Ein kommerzielles Mailserver-Schutzprogramm bietet zum Beispiel Softwin mit dem Bitdefender Mail Server (www.bitdefender.de). Eine Serverlösung sollten Sie als Sensor für einen frühzeitigen Alarm betrachten und als Bremse, was die schnelle Ausbreitung von Schädlingen angeht. Ein nur auf dem Server installierter Schutzschirm ist aber keinesfalls für die Sicherheit des ganzen Netzes ausreichend. Das Risiko, dass über einen Client Viren eingeschleppt werden, lässt sich damit nicht vollständig in den Griff bekommen. Wenn Sie ein komplexes Netz wirklich schützen wollen, brauchen Sie auch auf den Clients geeignete Software.

Antivirensoftware für Linux
Den Kern aller Virenschutzprodukte bildet die Scan-Engine. Eingefleischte Linux-Fans kommen damit aus. Die Scan- Engine genügt, um Virensignaturen und andere verdächtige Muster in Dateien zu erkennen, und lässt sich einfach in Mailserver oder Firewalls integrieren. Im Grunde reichen also ganz normale Virenschutzprogramme nicht nur für den Scan von Clients, sondern auch für Server. Bekannte Open-Source-Virenschutzprogramme unter GPL sind ClamAV (www.clamav.net) und Open Antivirus (www.openantivirus.org). ClamAV verfügt über einen On-Access-Wächter, der permanent Dateizugriffe überwacht. Ein skalierbarer Daemon scannt E-Mails. Hierzu lädt er die Scanengine und die Signaturen und hält sie dauerhaft im Speicher parat. ClamAV nutzt für die Integration des Wächters das Kernel-Modul Dazuko (www.dazuko.org), das der Nutzer erst kompilieren muss. Für die Anbindung an sendmail greift ClamAV auf Milter (www.milter.org) zurück. Über 20 000 Viren, Würmer und Trojaner erkennt ClamAV nach eigenen Angaben ? einschließlich verpackter Schädlinge in den Formaten RAR (2.0), ZIP, gzip und bzip2. Die Virendatenbank können Sie via Internet-Update aktuell halten. ClamAV bietet sich auch für Mail-Gateways auf der Basis von Postfix und Amavis an. Amavis dient dabei quasi als Middleware. Allerdings kann Amavis ebenso gut die Kommandozeilen-Versionen alternativer Virenscanner aufrufen. Ein Daemon ist für Amavis nicht erforderlich.

Spamschutz

Spamassassin

Spamschutz für Linux
Das größte Ärgernis in der Windows- Welt sind neben Viren und Würmern Spams. Grund, warum die unerwünschte Mailwerbung vor Linux Halt machen sollte, gibt es keinen. Also sollten Sie auch unter Linux einen Spamschutz installieren. Einen eingebauten Spamfilter bringen weder KMail noch Evolution mit. Anders Mozilla. Sind Sie Nutzer einer neueren Mozilla-Version, ist ein Werbefilter integriert. Der Junk-Filter von Mozilla lernt anhand der E-Mails, die Sie empfangen. Ist zu Beginn für Mozilla fast jede Mail Spam, lernt das System hinzu, indem Sie Nachrichten als unerwünscht oder erwünscht kennzeichnen. Diese Infos speichert Mozilla in einer Datenbank. Eine Anleitung finden Sie unter www.rrze.uni-erlangen. de/dienste/e-mail/spam-analyse/filter/mozilla/. Einfacher geht es, wenn Sie die Mailsortierung einem Spezialisten wie Spamassassin anvertrauen (spamassassin.apache. org). Den Spamfilter gibt es für mehrere Betriebssysteme, er ist aber gerade unter Linux-Benutzern sehr beliebt. Das in der Skriptsprache Perl erstellte Paket bietet eine ganze Reihe von leistungsfähigen Funktionen zum Aufspüren unerwünschter Nachrichten und ist deshalb Bestandteil vieler Linux-Distributionen.

Punkte für Werbung
Spamassassin geht wesentlich ausgefeilter vor als Mozilla. Das Programm enthält vordefinierte Regeln, die einen Großteil der Werbung erkennen. Zusätzlich verfügt das Programm über einen Lernmodus, wodurch Sie die Erkennungsrate noch erhöhen können. Der Clou an Spamassassin ist, dass es eine Mail erst dann als unerwünscht kennzeichnet, wenn sie eine bestimmte Zahl an Negativpunkten erreicht. Diese Punktzahl wird vom Nutzer festgelegt. Minuspunkte gibt es beispielsweise, wenn die Mail keinen Text enthält, im HTML-Format ankommt, die Absenderadresse nur aus Zahlen besteht oder über einen Server verschickt wurde, der als offenes Relay bekannt, also fehlkonfiguriert oder schlecht gewartet ist. Alle diese Eigenschaften kosten einer Mail Punkte. Sobald sie eine bestimmte Grenze überschritten hat, schreibt Spamassassin »X-Spam-Flag: YES« in den Kopfteil. Möchten Sie die Sensitivität des Wächters ändern, erhöhen oder reduzieren Sie die Punktzahl.

Installation von Spamassasin

Spamassassin

Spamassassin ist zwar ein Kommandozeilenprogramm. In KMail und Evolution können Sie es aber über die grafischen Konfigurationsdialoge einbinden. In Suse Linux Professional liegt Spamassassin auf Ihren Installations-CDs. Starten Sie die Paketverwaltung mit System/Yast /Software/ Software installieren oder löschen. Stellen Sie bei Filter die Option Suche ein und tragen Sie »spamassassin« als Suchbegriff ein. In der Trefferliste markieren Sie das spamassassin-Paket. Um die Abhängigkeiten kümmert sich Yast. Mit Klick auf Akzeptieren spielen Sie die Software ein. Nutzer der Personal-Edition besorgen sich den Werbewächter vom Suse-FTP-Server. Zusätzlich müssen Sie einige Perl-Pakete vom FTP herunterladen, die das Programm benötigt.

Spamassassin enthält das Dienstprogramm »spamd« (d für Daemon) und das Zugriffsprogramm »spamc« (c für client). Wenn Sie Spamassassin verwenden, übergibt Ihr normales Mailprogramm alle Mails an den Client spamc. Dieser leitet sie dann weiter an den Server spamd, der prüft, welche Mails Spam sind. Für den Dauergebrauch empfiehlt sich die Nutzung der Kombination spamd / spamc, da diese einen Geschwindigkeitsvorteil gegenüber spamassassin bieten. Sobald der Dämon spamd läuft (/etc/init.d/spamassassin start) können Sie mit spamc Mails oder Dateien auf Spamverdacht untersuchen. Weitere deutschsprachige Infos gibt es bei www.gadma.net/HowTo_SpamAssassin.