Schutz vor USB Malware

[andy_m4]

damit sie mit nem Wattebausch einen Sprengstofftest machen konnten.

Wattebausch. Tsss.
Das war ein getarnter USB-Stick :-)

Ergänzung (8. November 2020)

Ich dachte immer, daß die Linux Virenscanner eher von der Serverseite her kommen.

Ja. Also es gibt zwei Klassen von Virenscannern unter Linux. EInmal halt die, die nach Windows-Viren suchen die dann z.B: auch wie in Deinem Beispiel bei Mail oder auch bei Fileserver (an denen Windows-Clients dranhängen) zum Einsatz kommen.
Dann gibts aber auch noch die Variante die explizit nach Linux-Schädlingen Ausschau halten.

Ersteres kann man ja auch gern noch machen. Also nicht um die Ansteckung von nem Linux-System zu verhindern, sondern den Stick nach originären Windows-Viren abzusuchen.
Zweiteres ist in der Praxis quasi wirkungslos. Erstens gibts nicht so viele Schädlinge für Linux. Zweitens sind die AV-Hersteller da auch nicht so gut aufgestellt.
Wenn überhaupt Schadsoftware unter Linux nennenswert zum tragen kommen ist das gar nicht beim Desktop, sondern eher bei Servern. Dort nutzt man dann z.B. Rootkits um erfolgreich durchgeführte Angriffe zu verschleiern usw.
Aber das sind, wie gesagt, alles keine Sachen mit denen man als Desktop-Nutzer konfrontiert wird.

 

[screwdriver0815]

Wattebausch. Tsss.
Das war ein getarnter USB-Stick :-)

Stimmt. Den haben sie in einen als Tastatur getarnten USB-Port gesteckt indem sie einfach nur drübergewischt haben Die sind schon krass... wir müssen alle in den Untergrund

 

[Thorque]

Stimmt. Den haben sie in einen als Tastatur getarnten USB-Port gesteckt indem sie einfach nur drübergewischt haben

klar der als Wattebausch getarnte USB stick wurde ja auch bei wish bestellt und hatte 1TB

 

[AlexanderMa]

schonmal dort eingereist? Ich ja. Ca. 23 bis 28mal. Davon mehrfach mit zwei Laptops. Während der guten (Obama) Ära und auch während der bösen (Trump) Ära. Und da hat niemand einen Stick angesteckt. hmm... Nur einmal musste ich den Laptop aufklappen, damit sie mit nem Wattebausch einen Sprengstofftest machen konnten. hmm...

Und nochmal an den OP: was ist denn passiert, als du den virenverseuchten Stick an deinem Ubuntu angesteckt hast?

Ich habe den Stick an einen Windows Rechner gehängt. Wenn ich aber meine am Ubuntu ohne antivirus genutzte sticks an Windows Kollegen weiterreiche... will nicht das sie das gleiche erleben. Wie gesagt den Fall hatte ich bereits, aber von „Mac benutzter Stick auf Windows Fall“.

 

[andy_m4]

Ich habe den Stick an einen Windows Rechner gehängt. Wenn ich aber meine am Ubuntu ohne antivirus genutzte sticks an Windows Kollegen weiterreiche... will nicht das sie das gleiche erleben.

Das heißt aber, Du willst nicht nach Linux-Viren suchen, sondern nach Windows-Viren.

Kann man natürlich machen. Gibt da so verschiedene Lösungen von ClamAV über Sophos und wie sie alle heißen.

Aber auch hier die Frage, was bringt es Dir. Es würde ja nur was bringen, wenn der "Windows-Zielrechner" selbst kein Antivirenprogramm hätte. Und das hat der ja bestimmt. Und wenns "nur" der Windows Defender ist.

 

[AlexanderMa]

Das heißt aber, Du willst nicht nach Linux-Viren suchen, sondern nach Windows-Viren.

Kann man natürlich machen. Gibt da so verschiedene Lösungen von ClamAV über Sophos und wie sie alle heißen.

Aber auch hier die Frage, was bringt es Dir. Es würde ja nur was bringen, wenn der "Windows-Zielrechner" selbst kein Antivirenprogramm hätte. Und das hat der ja bestimmt. Und wenns "nur" der Windows Defender ist.

Beide Fälle will ich betrachten: zunächst natürlich nichts weiterreichen. Zweitens keine Infektion zu bekommen wenn der Stick irgendwelche Firmware installiert, wenn ich den rein stecke, da weiß ich eben nicht, ob Sophos das prüft und blockiert bei Linux (in meinem Falle Ubuntu 18.04).

 

[BeBur]

Naja, das Fazit lautet ja quasi "Du kriegst kein sinnvolles AV für Linux".
Ich wüsste grad spontan nicht einmal, wie schwer es aktuell noch ist unter Linux ein USB Gerät automatisch als Tastatur anmelden zu lassen und dann automatisiert Eingaben darüber an den Computer einzugeben.

Meiner bescheidenen Meinung nach, das größte Scheunentor für sog. privilege escalation ist sudo. Aber da stellt sich wie immer eh die Frage ob das für einen Virus auf einem Desktop PC überhaupt so viel Mehrwert hätte. Es bleibt eigentlich nur darauf zu hoffen, dass es weiterhin nahezu keinerlei bekannte Malware mit Desktop-PCs als Zielgruppe gibt.

 

[andy_m4]

Zweitens keine Infektion zu bekommen wenn der Stick irgendwelche Firmware installiert, wenn ich den rein stecke, da weiß ich eben nicht, ob Sophos das prüft und blockiert bei Linux

Zum Thema Linux-Infektion hab ich ja eigentlich alles gesagt. Ich weiß nicht, ob es an der Stelle sinnvoll ist mich zu wiederholen. Weil wenn Du das Gesagte bis hier hin noch nicht angenommen hast, wird sich da künftig auch nicht viel ändern.
Aber ich will es dennoch noch mal probieren.

Firmware wird nicht "einfach so" unter Linux installiert. Weder wenn Du den Stick einsteckst, noch wenn Du ihn mountest. Auf dem Stick können Dateien sein. Die können natürlich theoretisch eine Infektion insich tragen. Bei Datendateien ist das aber eher unwahrscheinlich bzw. ist hier das aktuell halten von Programmen das Mittel der Wahl.
Solltest Du eine Programmdatei auf dem Stick haben, dann macht es i.d.R. keinen Sinn diese auszuführen (wenn Du noch verhindern möchtest, das Du die versehentlich startet mounte den USB-Stick mit der Mountoption noexec).
Und wenn Du die nicht explizit startest, dann bist Du ohnehin safe.

Musst Du sie aus irgendeinen Grund starten und willst sie daher vorher testen, dann lade sie bei virustotal.com (oder einer vergleichbaren Seite) hoch. Der Vorteil ist dann auch, das die Datei gleich gegen ein Dutzend Antivirenprogramme getetet wird und nicht nur mit de welches Du zufällig gerade installiert hast.

Das zweite (noch viel unwahrscheinlichere) Szenario ist, das jemand den USB-Stick ganz fies manipuliert hat (so im Stile von Geheimdiensten oder echt fiese Hacker die das nötige Know-How haben) und versuchen Dein System auf Protokollebene anzugreifen (und dann quasi direkt auf den Treiber zu gehen). Da hat aber auch kein Antivirenprogramm der Welt die Chance das zu verhindern bzw. zu erkennen. Da hilft Dir das auch kein Stück weiter.

Wie man es dreht und wendet:
Linux-Rechner mit Antivirenprogrammen schützen zu wollen ist nicht zielführend

Willst Du dennoch einen gewissen Schutz haben, dann kannst Du Dir die darauf befindlichen Dateien in einer sandboxed-Umgebung angucken. Sowas kann man sich ganz einfach bauen. Im Wesentlichen beruht es darauf, das Nutzer und Prozesse ja voneinander isoliert sind und es im Prinzip reicht sich ein Nutzer-Account für solche Zwecke anzulegen und nach jedem Gebrauch sein Homeverzeichnis zurückzusetzen.
Das kann man auch halbwegs komfortabel gestalten. Ich spar mir nur das jetzt auszuführen weil ich befürchte, das Du es ignorierst weiter auf Antivir beharrst :-)

zunächst natürlich nichts weiterreichen.

Wie gesagt. Kann man natürlich machen.
Die bekanntesten (neben ClamAV) dürften der Sophos-Kram sein, wofür man allerdings eine Registirerungsprozedur durchlaufen muss, um sich den downloaden zu können.
Dann noch Eset NOD32 für schlappe 30€ pro Jahr:
https://www.eset.com/de/home/antivirus-linux/