Auch wenn Unix-Derivate als vergleichsweise sicher vor Virusinfektionen gelten - bisher ist kein Unix-Virus bekanntgeworden - stellen sie als Überträger eine erhebliche Gefahr dar. Insbesondere beim Einsatz als File- oder Internet-Server sollten die Verantwortlichen über entsprechenden Schutz nachdenken.
Kommerzielle Anbieter, wie McAfee oder Dr. Solomon, offerieren für Unix Scan-Programme, mit denen sich Dateien auf bekannte Windows- oder Mac-Viren untersuchen lassen. Damit kann der Systemverwalter immerhin schon einmal einen Fileserver absichern, wobei im einfachsten Falle ein Cronjob den Virenscanner in regelmäßigem Zeitabstand startet.
Für die Überwachung von Dateneingangspunkten, wie dem Mailverkehr, ist zusätzlicher Aufwand geboten. Zwar existieren kommerzielle Lösungen, die als Mail-Proxy den gesamten EMail-Verkehr zwischen dem LAN und dem Internet filtern können, diese benötigen dafür jedoch einen dedizierten Rechner. Da es sonst zu Problemen mit der TCP-Port-Zuordnung kommt, darf der dafür verwendete Rechner nicht mit dem Mail-Server identisch sein. Gerade in kleineren Netzen steht ein zusätzlicher PC nicht immer zur Verfügung, mal ganz abgesehen vom erhöhten finanziellen und administrativen Aufwand. Grundkenntnisse im Umgang mit dem Betriebssystem und in der Bedienung eines Editors reichen bereits aus, um - mit Hilfe der folgenden Hinweise - einen Linux-Rechner in eine Falle für Viren zu verwandeln, die sich in den Attachments ankommender Mail befinden.
Elektronische Post dürfte gegenwärtig der hauptsächliche Übertragungsweg für Computerviren sein. Die Viren befinden sich in den Mail-Attachments; das Mailprogramm (MUA, Mail User Agent) packt diese aus, und der Benutzer aktiviert sie unter Umständen mit einem ungewollten Mausklick.
Ein Virenscanner sollte, um wirkungsvoll zu arbeiten, die Nachrichten vor der Auslieferung an den Empfänger überprüfen. Dazu muß ihm die EMail inklusive aller Attachments in die einzelnen Dateien zerlegt vorliegen. Das heißt, das System muß jedes Teil unter Umständen dekodieren, möglicherweise dekomprimieren, und wenn es sich um Archive handelt, auch entpacken. Da diese wiederum Archive enthalten können, wiederholt sich diese Prozedur rekursiv, bis die Daten eine Form haben, die der vorhandene Virenscanner bearbeiten kann.
Im `Erfolgsfall' bekommen Absender, Empfänger und natürlich der Postmaster des Mailservers einen entsprechenden Hinweis; die Mail wird gesichert und die Auslieferung zunächst gestoppt.
Bei dem in seinen Grundzügen beschriebenen Weg, eine EMail auf Viren zu überprüfen, gilt es einen Einsprung in die Kette `Empfang der EMail am Mailserver' und `Auslieferung an den Adressaten' zu finden. Kommt sendmail als Mailserver (MTA, Mail Transfer Agent) zum Einsatz, kann der Administrator das Programm, das die Auslieferung der Mail an den Empfänger vornimmt, per Konfiguration wählen.
Standardmäßig finden sich hier entweder procmail, deliver oder mail. Diese Programme ersetzt der Systemverwalter in der sendmail-Konfiguration (/etc/sendmail.cf) durch ein Skript, das die oben beschriebenen Tätigkeiten durchführt und in dem Fall, daß die EMail nicht verseucht ist, das ursprüngliche Auslieferprogramm aufruft. Der Däne Mogens Kjaer hat mit scanmails (siehe Listing) ein derartiges Skript erstellt und ins Netz gestellt.
scanmails packt die EMail in einem temporären Verzeichnis (/var/tmp) mit Hilfe von metamail aus. Dann läßt es rekursiv Entpacker (tar, zip), Dekomprimierer (compress, zip) und Dekodierer (uudecode, binhex) über die Attachments laufen. Schließlich - wenn alles ausgepackt, dekodiert und dekomprimiert ist - startet scanmails den kommerziellen Virenscanner und wertet dessen Ergebnis aus. Im Falle einer infizierten Mail kopiert es selbige in ein speziell eingerichtetes Verzeichnis (zum Beispiel /user/virus) und verständigt Absender, Adressat sowie Postmaster. Die detaillierten Ausgaben des Virenscanners schreibt scanmails in ein Logfile. Nach erfolgter Integration des EMail-Viren-Scanners folgt der Funktionstest. Glücklicherweise muß man hierzu nicht erst einen Virus suchen und einem freundlichen Kollegen zuschicken. Die verwendeten Virenprogramme reagieren bereits auf ein Testpattern (Pseudo-Virus) namens Eicar (siehe Kasten Im Detail. Am besten man packt Eicar zusätzlich in ein Archiv, bevor man dieses als Attachment an sich selbst sendet.
Da scanmails im Falle eines Virus die Mail nicht direkt an den Postmaster, sondern an den Mailaccount virusalert schickt, ist es auch möglich, den Postmaster über andere Kommunikationswege, beispielsweise SCALL oder SMS-Nachrichten, zu informieren. Wer möchte nicht - im Süden am Strand liegend - per SMS gemeldet bekommen, daß die Virenfalle gerade wieder erfolgreich zugeschnappt ist?
Für Linux ist es beinahe schon ungewöhnlich, daß die Lizenz für die Virenscanner-Software mit etwa 350 DM zu Buche schlägt. Allerdings braucht niemand die Katze im Sack zu kaufen, die Virenscanner-Software von McAfee liegt für eine 30tägige Evaluationsperiode auf diversen FTP-Servern zum Download bereit (siehe Kasten Quellen). Je nach Sicherheitsbedürfnis steht es dem Benutzer frei, eine Kombination mehrerer Virenscanner von unterschiedlichen Herstellern zu verwenden.
Eine Einschränkung bringt die vorgestellte Lösung zur Überwachung des Mailverkehrs mit sich: sie kann nur ankommende Mail prüfen. Da sendmail zur Weitergabe von abgehender Mail einen eingebauten Transport-Agenten verwendet, ist der Aufwand zur Überwachung dieser Übertragungsrichtung aufwendiger. Mag sein, daß es in einigen Fällen akzeptabel ist, einfach von den abgesandten Mails eine Kopie an sich selbst zu schicken, um auf diese Weise zu erfahren, daß man seinen Kommunikationspartner soeben mit einem Virus beglückt hat. Vielleicht läßt sich dann ja noch rechtzeitig eine Abwehrmaßnahme einleiten?
In der Praxis zeigt sich die vorgestellte Lösung zur Überwachung ankommender Mails auf Viren als effektiv. Anwender berichten, daß die vorgestellte Virenfalle auf einem gut frequentierten Mailserver (mit mehr als 500 Mails pro Tag) durchschnittlich eine verseuchte EMail pro Monat (vorwiegend Word-Makro-Viren) abfängt, wobei es weder Fehlalarme gegeben hat, noch bekannt wurde, daß ein Virus den Mailserver passiert hätte. Die Hersteller der Virensoftware stellen darüber hinaus in regelmäßigem Abstand neue Versionen ihrer Virendaten-Files zur Verfügung und sorgen so für Aktualität der Virusdatenbanken (siehe Kasten Quellen).
Natürlich benötigt das Auspacken und Scannen der EMails Rechenzeit, so daß Internet-Server, die bei hohem Mailverkehr bereits ihre Leistungsgrenze erreicht haben, aufgerüstet werden müssen. Bei einem normal ausgelasteten und frequentierten Server jedoch macht sich die vorgestellte Virenfalle in puncto Performance kaum bemerkbar.
Die Überwachung des Mailverkehrs auf Viren ist ein wichtiges Element der sicheren Internet-Anbindung. Aber zu leicht verleitet das Gefühl von Sicherheit zu Unachtsamkeit. Auch mit Virenscanner muß die Maxime lauten: Traue keinem Mail-Attachment - zumindest von unbekannten Absendern. Wer weiß, vielleicht ist man ja auserwählt worden, einen neuen, bisher nicht bekannten Virus zu testen.
Dr. Jürgen Quade
arbeitet bei der Softing GmbH in Haar bei München.
| iX-TRACT |
|
Dieser Text ist der Zeitschriften-Ausgabe 02/1998 von iX entnommen.
iOS, Android, Windows Phone 7 und HTML5 - das neue Sonderheft von heise Developer führt Einsteiger und Profis in die Programmierung mobiler Geräte ein.
