Ich höre ständig von allen Seiten, wie toll Ventoy ist, habe aber selbst mangels Bedarf noch nie den Drang verspürt, das selbst zu testen. Bereits des Öfteren habe ich jedoch gelesen, dass Ventoy als Malware-Schleuder im Verdacht steht. Gerade hat Blogger-Kollege Stefan Hackebeil erneut eine Besorgnis erregende Warnung verfasst, die ich euch nicht vorenthalten möchte. Hier geht’s direkt zum Blog von Stefan.
Ansonsten habe ich den Text hier mal übernommen:
Nachdem die letzten Versionen auf Virustotal wieder steigende Funde verzeichnet haben, 1.0.59 steht bei 4/60, schießt ventoy 1.0.60 mit bislang 13/60 (!) Scannern durch die Decke.
Ich werde mich nicht erneut an den Programmierer wenden, nur um dummes Zeug lesen zu müssen. Das Programm an sich ist in seiner Art Spitze, es wird stetig ausgebaut, aber verbietet sich durch sowas, genauer, der Programmierer selbst deklariert es mit seinen Ausflüchten, die ein massives technisches Unverständnis erkennen lassen, als potentiell gefährlich und eben nicht einsetzbar.
Nun schlagen derzeit die Scanner bei Windows-Versionen wieder massiv an, bei Linux-Versionen noch nicht. Es ist freilich die Frage, wie die Scanner auf Virustotal überhaupt Linux-Software testen – Funde hat es durchaus schon gegeben – wie dies zu bewerten ist. Wenn jedoch ein Programmierer derart sorglos und luschig arbeitet, muß man es insgesamt annehmen. Und Code für jeweilige OS wird er auch nicht komplett und getrennt neu schreiben, sondern möglichst in einem OS multiOS kompilieren und im LAN kopieren.
Es sei ausdrücklich vor dem Einsatz von Ventoy gewarnt.
axbase.net
Nun muss jeder entscheiden, ob er dieses Tool besonders unter Windows weiterhin verwenden möchte. Die Situation unter Linux scheint ja noch ungeklärt zu sein. Mir würde das jedenfalls ausreichen, um mich auch unter Linux nach Alternativen umzusehen. Danke an Stefan für die anhaltende Berichterstattung über diese Bedrohung.
Ich habe beruflich schon mit diversen Entwicklern (Soft- und Hardware) aus China zu tun gehabt und das wundert mich jetzt absolut nicht. Solange es funktioniert ist alles egal – reproduzierbare Fehler, Abweichungen von Standards und Sicherheitslücken. Es wird alles heruntergespielt und relativiert.
Ich persönlich werde zukünftig weder in China entwickelte Hard- noch Software verwenden (Made in Chine ist OK).
Da der Ventoy Source Code in Github ist, kann man sich bei den Issues den Verlauf der Virus-Alerts durchlesen. Bisher sind wohl alle Virenscanner-Ergebnisse false-positive gewesen.
Des Weiteren kann man sich ja, falls man dem offiziellen Release nicht traut, aus dem Quellcode auf Github ein eigenen Build erstellen.
Für mich stellt sich ernsthaft die Frage ob Ferdinands Kollege, der Stefan nicht eine Fehde gegen den Autor von Ventoy hat. Der scheint an Ventoy was gefressen zu haben. Warum soll der Entwickler Code umschreiben wenn Schlangenölsoftware False-Positive meldet. Das ist ein Prangerblog.
Ich kenne Stefan als sehr kundigen Kollegen, sonst hätte ich den Beitrag nicht übernommen.
Ich habe mir den Blogeintrag auf axebase gerade durchgelesen, und finde, dass er den Entwickler zu unrecht verurteilt. Man darf zwei Sachen nicht vergessen:
Ich habe den aktuellen Build 1.0.61 mal mit Virutal Total scannen lassen und es sieht so aus, als ob sie gerade dabei sind, die False Positives zu reduzieren. Es sind nur noch 3 “Funde”.
Also es gibt drei Blogeinträge wo Stefan Vantoy in einen Online Virenscanner geschmissen hat und Warnungen erhalten hat.
Wo ist denn der “Schadcode”?
Ich muss auch sagen, dass ich von einem kundigen Kollegen etwas mehr Recherche, Code Review oder selbst kompilieren erwartet hätte, erst recht wenn man schon den dritten recht Inhaltsleeren Warn-Post einstellt. Zusammen mit der suggestiv herablassenden Sprache in den Posts drängt sich auch mir eher der Eindruck einer persönlichen Aversion von Stefan auf muss ich zugeben.
Ich kannte Ventoy bis zu diesem Artikel gar nicht. Allerdings gefiel mir das Konzept, auf einem USB-Stick mehrere ISO’s parallel zu installieren.
Eine Bestätigung der Vorwürfe konnte ich nirgends finden. Es gibt es mehrere Artikel bei heise.de, in denen Ventoy empfohlen wird. Bei ubuntuusers.de wird die Software beschrieben und dort wird darauf hingewiesen, dass es bei älteren 32bit Windows Versionen zu vermutlich falsch-positiven Warnungen kommen kann (mit Verweis auf axbase).
Lange Rede kurzer Sinn, ich habe Ventoy bei ausprobiert und bei mir läuft es tadellos.
“Lange Rede kurzer Sinn, ich habe Ventoy bei ausprobiert und bei mir läuft es tadellos.”
DAS will auch niemand bstreiten …
vor ca. 2 Mon. hab ich einen RPI 4 angeschafft, damit bin ich zufällig über Ventoy gestolpert.
Ich denke Sicherheitsmaßstäbe sind doch immer irgendwie relativ!
Zunächst hatte ich viele Infos über UEFI für Raspberry gefunden (https://rpi4-uefi.dev/). Da spekulierte ich sofort darauf, endlich mein erstes, vernünftiges Live-ISO auf einem Arm64 System standardmäßig zu starten.
Bei der weiteren Recherche stieß ich dann auf Ventoy. Ich war echt baff, der ISO-Installer funktioniert sogar unter Arm64 und über RPI 4 UEFI ließ sich der Ventoy-Stick mit dem “daily-build” Arm64-ISO von Ubuntu sofort problemlos booten.
Mein Eindruck ist, bei den Ventoy-Entwicklern handelt es sich um engagierte Hobbyisten, die um “jeden Preis” Plattform übergreifend alles zu Laufen bringen wollen, was irgendwie als Systemabbild auf ein USB-Laufwerk geht. Wo Live-Systeme kommen und gehen und öfter ihren Bootvorgang abändern, ist ihnen dies soweit prima gelungen. Für mich ist es ist ein praktisches Tool – weil der RPI 4 ist für mich ein Spielzeug und wo ich mit Sachen wie Ventoy hantiere, da finden sich keine persönlichen Daten od. Bilder auf dem System.
Für andere Anwendungszwecke mach ich z.B. das Ubuntu zum Installieren lieber direkt auf einen Stick. Für das RPI 4 UEFI habe ich ein ebenso gutes Sicherheitsgefühl, wie ich es beim Raspberry-OS habe – so lilalola.
Ist Mainline-Ubuntu erst mal auf dem RPI installiert, gibt es eine “EFI-Partition” mit einem Grub-Bootmenü. Über den Grub2-Bootloader kann man dann bestimmte ISO-Abbilder genauso booten wie über Ventoy. Funktioniert hat es bei mir mit Fedora 34, irgend so einem Centos Nachkömmling (Null-Netzwerk) und div. Ubuntu-ISO’s. Das Einrichten ist nur eine etwas kompliziertere Geschichte.
Da dürfen dann schon mal belanglose persönliche Infos auf den System sein. Ich traue mich damit schon so Sachen, wie z.B Preisrätsel über eine Website abzuschicken.
Für Homebanking nutze ich dagegen eine kleine jungfräuliche Intel-Box mit einer schreibgeschützten Live-ISO SD-Karte einer etablierten bekannten Distri darauf und einen ebenso extra zweckgebundenen DSL-Router über Ethernetkabel, mit dem ich sonst nichts anderes mache.
E-Mail mache ich über einen RPI 3 und der bekannten Ubuntu-Mate Distri (Legacy-Kernel) auf der ich sonst auch nichts anderes mache.
Für den Alltagsgebrauch dient mir ein Odroid N2 mit Armbian (Mainline).
So habe ich ein rein individuelles Sicherheitsgefühl das relativ gut ist. Und nur darauf kommt es an – dass ich mich dabei gut fühle.
Wirkliche Sicherheit, hab ich immer im Hinterkopf, gibt es ja sowieso nicht 😉
Ventoy scheint das “Schweizer Taschenmesser” für den Live-Modus zu werden. Und es funktioniert problemlos. Danke dafür an die Entwickler.
👍
Eine funktionsfähige Software mit dem prinzipiell auch der Laie zurecht kommt. Das passt hier im Kommentarbereich wohl nicht jedem.
Egomanen gibts halt überall, auch hier.
ich würde das nicht so pauschal sagen. Kritik muss geäußert werden dürfen und wenn bei der Win-VErsion die Virenscanner anschlagen ist Überprüfung angesagt.
Der im Artikel verlinkte Bog-Eintrag ist allerdings so aussagarm und es ist keinerlei codereview gemacht worden..
Allerdings sollte man das Programm deswegen nicht zum Heiligtum erklären und den Kritikern pauschal niedere Motive unterstellen.
Grüß Gott,
also bei mir hat sowohl unter Windows 10 als auch 11 der Windows Defender nicht “angeschlagen”bzgl.Ventoy.
Genau das hätte ich eigentlich auch erwartet, bevor man eine große Welle schiebt – Code anschauen, selbst kompilieren und überprüfen ob die resultierende exe identisch ist bzw diese auch bei den Virenscannern checken – dann sieht man schon wo die Reise hingeht…
Mir ist die ganze Diskussion unverständlich.
Ventoy ist offene Software – der Quellecode steht zum Download zur Verfügung.
Wenn man den Vorwurf der Malware oder sogar Virenschleuder in den Raum stellt muss man zumindest mal Code-Review machen.
Hat nicht stattgefunden. Oder?
Was soll das ganze also?
Aber mit solchen Meldungen wird dann schnell eine Software in Misskredit gebracht. – Aber wenn’s glücklich macht…
Ganz klarer Fall von “Wir machen Shicesoftware, aber wenn uns das einer ins Gesicht sagt…”. Dann zeigen wir Dich an wegen Misskredit usw. zur Not schicken wir Polizei noch vorbei. Oder wir reagieren einfach gar nicht. So also ob wir das nicht gesehen haben… Einfach mal die Schnauze halten zum Vorfall und so tun als ob niemand was gehört hat, und die github Tickets, ganz schnell zu machen.
Dewegen habe ich die Referenzen der Beiden Tickets hier verlinkt, dass die nicht dann irgendwann mal verschwiden.
Aber man sieht es schon, im github. Keine Reaktion von der Softwarebudde.
Zurzeit sind es bei VT, nur noch vier Meldungen:
https://www.virustotal.com/gui/file/02271e58f8a543817ca9b4b01cc7fa8d3945a6984391089bcb378dc58993ffbf?nocache=1
So mancher meint, was Virenscanner melden, ist dann auch Malware,
das ist auch häufig nicht der Fall. Bei automatischen Analysen kann es vorkommen,
das die Ergebnisse nicht stimmen.
Meistens bekommt man nur ein klares Ergebnis, wenn man den Verdacht bei seinen
AV Anbieter einsendet.
Dort schaut sich ein Malware-Analyst, die Datei an, und was dort dann rauskommt
stimmt dann.
mfg
Unter Linux hatte ich mit dieser : Live-CD -Version
keine Probleme.
Ventoy LiveCD Instructions
https://www.ventoy.net/en/doc_livecd.html
Mich kotzt eher an das alles wieder nur in englisch/asiatisch und nicht deutsch ist!
Ventoy:
1)
…habe die iso geladen und unter Mint mit “USB-Abbilderstellung”
meinen Live-Stick erstellt
2)
…habe mit dem Live-Stick eine
externe (USB) SSD in eine Ventoy-SSD umgewandelt.
3)
…läuft
4)
…Viren unter Linux?
Hirn einschalten nicht vergessen.
Naja – eine “Bedrohung” sehe ich nicht, wenn meiner Meinung nach eher dämliche Scanner der Schlangenölbranche Warnungen anzeigen…und wenn ich mir überlege, was Ventoy macht (MBR und Partitionstabelle eines Boot Devices ändern), wundere ich mich eher, dass es nicht mehr sind.
Ist ja nicht so als ob es keine Alternativen unter Linux gäbe.
Da war auch letzten hier ein Artikel zu einem Imager mit vielen Kommentaren zu Alternativen …natürlich auch zum Ventoy.
Ich denke Mann muss ihn nicht nutzen.
Uuuuh, bin ich den Ventoy Jüngern auf den Fuß getreten …das tut mir aber leid …oder was ist so schlecht bzw. falsch an meiner Aussage?
Habe mich mal kurz umgeschaut. Mal schauen, was mit den beiden offenen bugs von ventoy auf github passiert:
https://github.com/ventoy/Ventoy/issues/1234
https://github.com/ventoy/Ventoy/issues/770
Erinnert mich ein bischen an die Anfänge des Internets. Da gab es auch überall Webseiten die nützliche Tools angeboten haben. Scheinbar funktioniert es auch unter linux Usern. Naja war eigentlilch nur eine Frage der Zeit bis es soweit ist. Das Betriebssystem hilft da nur wenig.
Ups
Ich konnte den Beitrag einfach nicht mehr löschen.
Dafür zwei Dislikes …wow. Danke
Wenn ich etwas über sehen habe, dann bin ich lern- und kritikfähig. So geht das!
Ihr, die so schön die Funktion so benutzt, habt ihr eine Idee wofür die gedacht ist?
Scheinbar nicht!
Noch einmal mein Aufruf die Like Funktion abzuschalten. Es scheint doch einige zu geben die nicht verstanden habe wozu diese gedacht ist und wie sie sinnvoll genutzt werden soll.
Ich bin fest davon überzeugt das nicht nur ich darüber verärgert bin und die Leute das Feen hält such zu beteiligen und ich brauche auch nicht mehr lange dafür …was dem ein oder anderem bestimmt gefallen wird.
Habe Ventoy damals unter Windows genutzt war Super, unter Linux nicht so lange der Programmierer nicht mit ner Grafischen Oberfläche wie unter Windows hin bekommt ist es Uninteressant.
Nutze überwiegend den Balena Etcher als AppImage und bin damit sehr zufrieden, macht was es soll und erfüllt seinen Zweck.
Die grafische Oberfläche gibt es unter Linux längst. Super einfach zu bedienen. Kriegt jeder hin.
Der eine Link mit der ältern Version auf Stefans Blog geht ins leere. Der zweite mit der aktuellen Version 1.0.60 verweißt auf ein Ergebnis bei Virustotal mit 4 von 59 Scanner erkennen ein Problem.
Hat da wieder der Author von Ventoy was geändert und liegt das am Scannen?
Auf Heise+ gibt es einen Artikel zum Thema Ventoy. Da ist von das Thema Malware und Virustotal
kein Thema.
Es ist bei Virustotal prinzipbedingt völlig normal, dass erst viele (besonders der unbekannten) Scanner falsch-positiv anspringen, nur um dann ihre Meinung zu ändern.
Bisher kannte ich den Blog ‘axebase.net’ nicht. Der hier zitierte Blog-Artikel gibt mir lediglich eine durchaus angebrachte Warnung weiter. Der Rest ist für mich als Leser indiskutabel. Der Programmautor soll keine Ahnung haben, aber begründet wird das nicht. Mehrere Virenscanner melden einen Trojaner, aber von beobachteten Trojaner-Auffälligkeiten oder -Analysen wird nicht berichtet.
Aus meiner Zeit als Windows-user sind mir etliche false-positive Meldungen untergekommen. Sicher sind die extrem störend. Wenn es sich auch hier um ein ‘false-positive’ handeln sollte, dann sollte man der Entwicklung der Software auch die Zeit geben. Wenn doch eine Malware vorliegt wünsche ich mir aber eine seriösere Berichterstattung.
Ich selbst setze Ventoy ein und bin hochzufrieden damit. Unter Linux wird es übrigens nicht installiert, sondern ein Script sorgt für die ‘Behandlung’ des USB-Datenträgers. Man kann inzwischen aber auch eine GUI nutzen.
Die hier vertretene Linux-Philosophie, möglichst nur aus den offiziellen Repos zu installieren teile ich aber. Bei mir werden bislang nicht einmal Snaps oder FlatPaks installiert, auch wenn andere Ausnahmen durchaus vorkommen.
In den Manjaro-Repos findet sich übrigens derzeit Ventoy in der Version 1.0.54.
Direkt unter dem Posting finden sich Links. Wenn ich eines nicht mag, sind es unnötige Wiederholungen.
Und da waren es nur noch 4. Jiangmin, Arcabit und zwei weitere Scanner, von denen man noch nie gehört hat. Wenn man schon solch alarmistische Wasserstände ohne Substanz raushaut, sollte man wenigstens den Anstand haben, auch wieder Entwarnung zu geben. Oder sind diese Virus-Total-Artikel etwa gänzlich als Clickbait ausgelegt?
Tja, ich erstelle meine bbotfähigen USB-Sticks ganz klassisch mit dd.
Das ist nicht vergleichbar. Wenn man Ventoy mal auf einem USB Stick installiert hat, kann man mehrere ISOs einfach auf den Stick kopieren, den Ventoy Stick booten und dann in einem grapfischen Menü wählen, welches Image gebootet werden soll.
Hallo, erst mal Danke für solche Hinweise, ich habe mal geschaut, ob es in den offiziellen Paketquellen von debian zu finden ist, weder über Synaptic, noch in diesem Mysteriösen App-Store. Ich bin sowieso der Meinung, das man bei den jeweiligen Quellen des eigenen Systems bleiben sollte, sofern die möglich ist.
Das ist fast immer das empfehlenswerte Vorgehen.
Ich kann das nur bestätigen.
Habe selber schon meine Erfahrungen damit machen dürfen (die waren aber ungefährlicher Natur, eher Inkompatibilitäten).
Lobenswerter Weise möchte ich hier den Vivaldi Browser erwähnen. Von der Art und Weise der Einnistung in die sources.list mal abgesehen, aber die Diskussion hatten wir ja schon.
Es gibt ganz sicher noch weitere gute Beispiele.
Um so wichtiger finde ich solche Beiträge die explizit davor warnen. Wir hatten ja erst kürzlich das Thema zu Imager Programmen und da wurde dieses fälschlicherweise hervorgehoben, weil nicht bekannt war wie es darum steht.
Ich habe gelernt, dass um so näher ich an den original Debian Quellen bleibe, um so weniger Probleme habe ich mit dem System.
Ich denke das ist auch analog zu anderen Distributionen zu sehen.
Bleibt weiterhin sauber!
Was ist Ventoy?
Die Idee von Ventoy ist net. Gerade, da ich immer wieder beruflich in die Situation komme, dass ich anderen verschiedene Distributionen zeigen möchte. Leider hat es bei mir nie richtig gebootet.
Davon abgesehen, ist es wirklich schade, dass die Entwickler offensichtlich auf Featur-Ausbau und nicht auf die Qualität der Grundfunktionen achten.
Danke dir für den Hinweis