Ist der Tryton client sicher?
Ich hatte eben den Tryton Client für Windows heruntergeladen.
Wie ich das mit allen Programmen erstmal mache, hab ich ihn durch Virustotal gejagt, da schlugen 4 von 69 Virenscannern drauf an...
Ist diese Software wirklich ein Virus? Oder sicher?
2 Antworten
Moin,
der Tryton Client sollte nach meiner Recherche eine vertrauenswürdige Software sein. Die offizielle Seite ist https://www.tryton.org/download. Angeblich wird diese öfter mal von Sicherheitssoftware erkannt.
Nach meiner Analyse hat sich folgendes ergeben: Ein 100%iges Ergebnis konnte ich nicht finden. Die Software zeigt verdächtige Bestandteile charakteristisch für Malware, wie z.B. dass sie gepackt ist, was dazu dient, die Analyse zu erschweren. Legitime Software sollte so etwas normalerweise nicht tun. Andererseits ist Tryton open-source, was das Vertrauen wieder erhöht. Ich habe mir zwar selber den Code natürlich nicht durchgelesen, aber ich halte hier die Wahrscheinlichkeit von Malware für geringer.
Die Gene der Software sind zu etwa 88% einzigartig und stimmen weder mit bekannter vertrauenswürdiger Software, noch mit bekannter schädlicher Software überein.
Zusammengefasst bin ich gegenüber dieser Software etwas skeptisch, obwohl sie laut vielen Leuten legitim sein soll. Ob es das Risiko wert ist, musst du entscheiden, vielleicht mit einer guten Sicherheitslösung wie Bitdefender die Installation wagen oder lieber nur in einer virtuellen Maschine anwenden. Die Wahl liegt bei dir.
Ich hoffe, das hilft!
Cheers
Die apt-Repositories sind normalerweise sicher, denn die Pakete durchlaufen eine Prüfung durch die Maintainer der Distribution und die Wahrscheinlichkeit, dass ein Schadcode in diesen Quellen landet, ist eher gering.
Möglicherweise überprüfst du mal auf Windows die digitalen Signaturen der Datei?
Was du alternativ machen könntest, wäre, dir die Software selbst zu kompilieren, da sie ja open-source ist.
Ich hab mal von GitHub den gesamten Tryton kram als zip Datei auf virustotal hochgeladen, da springt nix an.
Logisch, es werden ja auch nur die Signaturen auf VirusTotal geprüft. Und wenn kein Sicherheitsprodukt diese ZIP als schädlich gespeichert hat, wird es nicht erkannt, unabhängig von den Inhalten.
Ach, so ist das. Gut, dann lass ich mal clamav drüber laufen ? Der MS Defender auf meinem Windows PC fand nämlich nix.
Naja, windows Schädlinge soll der ja schon finden...
Soll ist das Schlagwort. Ob er das tut? Zu oft nicht. Der Windows Defender ist eine der schlechtesten Sicherheitslösungen, die man sich aussuchen kann. Wenn kostenlos, dann Bitdefender Free Antivirus.
Von was hältst du vom ClamAV auf Linux ? Bitdefender Free wollte ich mal probieren, aber selbst wenn man deren .exe Datei auf Virustotal prüft, sagen auch welche es sei n Virus.
Spezielle Erfahrungen mit der Erkennungsrate von ClamAV habe ich nicht, da ich Sicherheitslösungen für Windows teste. Was ich aber sagen kann, ist, dass es im Gegensatz zu traditionellen Sicherheitslösungen sehr eingeschränkt ist, da es weder einen Echtzeitschutz, noch vernünftige heuristische Erkennungen bietet. Es basiert auf Signaturerkennungen, die so gut wie nichts gegen polymorphe Bedrohungen bringen (= immer etwas unterschiedlich aufgebaute Bedrohungen, falls dir das nichts sagte).
Aber dass der Bitdefender-Installer geflaggt wird ist mir neu. Ich habe es gerade getestet, sehr lustig. Jedoch nur von den überaus sensiblen und eher schlechten Engines. Für unvertrauenswürdig halte ich z.B. DrWeb, Jiangmin, Zillya, Bkav Pro, SecureAge und Trapmine, falls das etwas bei zukünftigen Analysen mit VirusTotal hilft.
Verstehe. Naja meine Meinung ist jetzt gespalten, was meinst du denn, sollte ich die software auf dem linux Rechner weiter verwenden ? Oder ist es eher riskant.
Ich habe auch mal bisschen recherchiert, also:
Heise berichtet über die Software mehrfach.
Ubuntu selbst schreibt auch nen Artikel darüber wie man die Software installiert.
Die Software ist Open Source, und da müssten ja eigentlich die Leute längst bemerkt haben wenn da was "schlechtes" wäre.
Außerdem habe ich sie per "sudo apt Install tryton" installiert, und das wird ja normalerweise geprüft.
Ich weiß ja nicht, wie wichtig dir dein Windows System ist. Sind dort wichtige Daten wie Passwörter drauf? Vielleicht würde ich das Risiko eingehen, solange ich Kaspersky (oder möglicherweise auch Bitdefender) installiert habe; auf die beiden kann man sich meiner Meinung nach ziemlich gut verlassen. Ist es denn aber nötig, es auch auf Windows zu verwenden? Spricht irgendetwas dagegen, es auf Linux zu lassen?
Nein, ich möchte es ja auf linux lassen. Aber meine Frage ist ja, ist es da jetzt sicher genug, ich habe ja hier einige Systeme laufen, darunter viele Windows, Mac und auch Linux Computer und sonstige Geräte. Auf dem Linux System wo es drauf läuft ist das meiste relativ egal. Allerdings haben die anderen Computer im selben Netzwerk paar wichtige Daten.
Ich habe jetzt nur sorgen, das Tryton (wenn es eine Malware ist), die anderen Pc's hier angreifen könnte, und dort Daten abfangen könnte.
Ich halte das Überspringen von Malware über ein Netzwerk für unwahrscheinlich, wenn dein Router aktuell und gut unterstützt ist (das sind immer Zero-Day Exploits). Auf eine solche Verbreitung hat in meiner Analyse nichts hingedeutet.
Gab es in deiner Analyse denn irgendwelche hinweise auf mögliche Malware ?
wie z.B. dass sie gepackt ist, was dazu dient, die Analyse zu erschweren.
Beispielsweise das. Ansonsten kontaktiert die Software noch ungewöhnliche Ports, was aber auch nichts heißen muss.
Gepackte Software ist komprimiert oder verschlüsselt. Das bedeutet im Grunde, dass irgendetwas zu verstecken ist, sei es Schadcode oder Code, der nicht geklaut bzw. reverse-engineered werden soll. Theoretisch kann es auch dazu verwendet werden, um die Dateigröße zu verkleinern, jedoch sollte legitime Software nichts zu verstecken haben und nicht gepackt sein.
Okay... hast du eine Vorstellung warum man die gepackt haben könnte ?
Also sieht es danach aus als würde man irgendwie schadcode damit verschleiern wollen ? Oder sieht es eher aus, als gäbe es einen anderen Grund für das verpacken der Software ?
Die einzige sinnvolle und legitime Erklärung wäre, die Dateigröße in Grenzen zu halten. Sie ist ja schon 38MB (?) groß und vielleicht sollte sie ja nicht noch größer werden, dann wäre der Download ziemlich langsam. Vielleicht haben die Entwickler auch einfach keine Ahnung, dass man das normalerweise nicht so machen sollte? Jedoch halte ich das für unwahrscheinlich.
Gut, aber wie wahrscheinlich ist es denn, dass die software wirklich schadcode enthält, und außerdem soll das bisher noch niemandem aufgefallen sein ? Ja scheinbar dann nicht mal denen, die es in die debian / Ubuntu software repositorys reingelassen haben ? Die Software ja eigentlich vorher gründlich prüfen ?
Ich halte die Wahrscheinlichkeit für gering. Ich denke, du kannst das Risiko eingehen, aber die Wahl liegt bei dir.
hab ich ihn durch Virustotal gejagt, da schlugen 4 von 69 Virenscannern drauf an...
Das sagt überhaupt nichts aus in beide Richtungen.
Es wird immer geprüft ob was bekannt ist vom Muster her(simpel gesagt).
Also virustotal weiß nicht ob da Schadware ist oder nicht, bekommst lediglich nen Überblick dadurch.
Ist diese Software wirklich ein Virus? Oder sicher?
Jenachdem wo du sie gedownloadet hast ist diese sicher oder nicht.
Original Hersteller sollte Safe sein, hab aber nur grob recherchiert kannst immer selbst nochmal nach gucken
So zum Beispiel: https://letmeddgthat.me/?q=dHJ5dG9uIGNsaWVudCB2aXJ1cz8%3D
Nicht schlecht ;), aber das hab ich natürlich auch schon gemacht. Da steht aber nirgends ob die Software virenfrei ist.
Ich würde das jetzt so interpretieren, dass die Software sicher ist. Ich führe trotzdem mal eine kurze Analyse für dich durch und komme gleich auf diese Frage zurück.
Vielen Dank auf jeden fall mal für deine Analyse.
Naja, ich habe die Software auf Linux am laufen, und sie dort aus den offiziellen apt repositorys installiert. Die sind ja eigentlich virengeprüft (oder ?).
Nur die .exe für windows wollte ich auf einem windows Rechner installieren. Diese schlug eben auf Virustotal an.