Co musimy wiedzieć o programie DETEKT
 |
| W ten sposób nie będziesz anonimowy w sieci. Poza nią także nie. |
Czym jest „DETEKT”?
To niewielki narzędzie do skanowania komputera oraz wykrywania jedynie 8
różnych rodzin oprogramowania szpiegującego jak podaje producent. Najbardziej
znanym programem typu spyware wykrywanym
przez DETEKT jest FinSpy firmy FinFisher.
Jak to działa?
DETEKT korzysta z reguł Yara, by wykonać skanowanie pamięci szukając
określonych łańcuchów znaków (np. nazwy plików lub ścieżki), które znane są z
wykorzystywania przez odpowiednie rodziny złośliwego oprogramowania. W
przypadku odnalezienia pasujących łańcuchów znaków narzędzie informuje użytkownika
o możliwej infekcji.
Ograniczenia narzędzia
Po pierwsze DETEKT jest oprogramowaniem bazującym jedynie na metodach
reaktywnych podczas skanowania pamięci sprawdzanego urządzenia. Przykładowo dziennikarz
korzystający z takiego narzędzia zostanie poinformowany o zagrożeniu
szpiegowaniem już po udanym zainfekowaniu komputera. Nie zapobiega szkodnikom,
nie usuwa ich ani nie poddaje kwarantannie wykrytych plików. Strona projektu na
wypadek wykrytej infekcji wzywa użytkownika do „odłączenia komputera od internetu i wezwania eksperta do pomocy”. Znajdziemy
też porady dotyczące całkowitego zaprzestania korzystania z naszego komputera,
a nawet fizycznego pozbycia się samego sprzętu! Tak drastyczne komunikaty mogą
wprawiać użytkowników w osłupienie i z pewnością nie pomagają w trzeźwej ocenie
sytuacji w której się znaleźli. Eksperci
G DATA SecurityLabs podpisują się jedynie pod jedną radą dostępną na stronie
DETEKT, którą jest kontakt z odpowiednim fachowcem w dziedzinie bezpieczeństwa
komputerowego.
Co więcej, reguły Yara z których korzystali autorzy są ogólnie dostępne w
sieci. Więc możemy spokojnie rozsiąść się w fotelu i z zegarkiem w ręku czekać na
nowe, uaktualnione wersje złośliwego oprogramowania prosto od hakerów. Wynik
jasny do przewidzenia, uniknięcie ich wykrycia przez narzędzie którego
dostarczycielem jest Amnesty International. Ponadto wciąż mogą istnieć szkodliwe programy
szpiegujące niewykrywane przez DETEKT, choć jak deklarują autorzy, narzędzie
będzie wciąż rozwijane i aktualizowane. Na stronie możemy znaleźć taki opis „zachęcamy naukowców, badaczy bezpieczeństwa
IT oraz społeczność open source do pomocy w pracach nad projektem”. Ważna informacja dla użytkowników „jeżeli DETEKT nie wykryje żadnych zagrożeń
na Twoim komputerze nie oznacza to, że sprzęt z którego korzystasz jest wolny
od oprogramowania szpiegującego” podsumowują przedstawiciele autorzy.
Podsumowanie
Opublikowanie narzędzia DETEKT zdobyło uznanie wśród osób z branży
bezpieczeństwa IT, jako przyczynek do rozpoczęcia poważnej dyskusji na temat
inwigilowania użytkowników przez organy państwowe. Musimy jednak być pewni, że
osoby korzystające z tego narzędzia nie pomylą go z kompleksowym pakietem bezpieczeństwa,
gdyż program DETEKT takim z pewnością nie jest.
AKTUALIZACJA
Seria fałszywych alarmów
niepokoi użytkowników
Twórcy narzędzia DETEKT
wykrywającego ograniczoną ilość rządowych programów szpiegujących na podstawie
sztywnych reguł Yara, mieli z pewnością dobre intencje jednak wykonanie
aplikacji pozostawia wiele do życzenia.
Mniej reguł
Twórcy pozbyli się z kodu programu 6 z 8 reguł odpowiadających za
wykrywanie złośliwego oprogramowania. Oznacza to, że DETEKT w obecnej chwili
wykrywa jedynie dwa zagrożenia odpowiedzialne za wykradanie danych
użytkowników. Prawdopodobnym powodem mógłbyć problem z ogromną ilością
fałszywych alarmów generowanych przez skaner.
Zgodnie z komentarzami do kodu dostępnymi na serwisie GitHub.
# TODO: this is hacky, need to find a better solution
to false positives
# especially with security software
Pakiety antywirusowe w szczególności dały się we znaki autorom rozwiązania
od Amnesty International. Większość
rozwiązań bezpieczeństwa wykorzystuje skanowanie dostępowe w czasie
rzeczywistym (on access).
Skanowanie dostępowe
Skanowanie to polega
na kontrolowaniu wszystkich prób dostępu do plików na dyskach. Skanowanie
odbywa się w tle przy użyciu filtra zintegrowanego z systemem. Odczyt, zapis i
uruchomienie dowolnego pliku poprzedzone jest skanowaniem antywirusowym. Jeśli
skaner dostępowy (monitor) wykryje złośliwe oprogramowanie w pliku, do którego
system lub użytkownik próbuje uzyskać dostęp, podejmuje zdefiniowane wcześniej
działanie (usunięcie, próbę dezynfekcji, zablokowanie, czy też przeniesienie
pliku do zabezpieczonego folderu – kwarantanny). Ze względów bezpieczeństwa
skanowanie dostępowe powinno być stale włączone.
 |
| Wykrywanie samego siebie nie wróży dobrze. |
Sytuacja ma miejsce w momencie wykonywania plików DETEKT po wcześniejszym
zapisaniu ich na dysku. Po uruchomieniu pliku
programu DETEKT antywirus G DATA skanuje go pod kątem zagrożeń ładując kod
aplikacji wraz z zawartymi w nim regułami Yara do swojej pamięci celem dokładnego
przeskanowania. W momencie skanowania komputera oprogramowaniem DETEKT… wykrywa
swój własny kod jako złośliwy. Odnajduję łańcuch znaków zawarty w regułach
Yara, który został przeskanowany przez oprogramowanie G DATA. Właśnie w ten
sposób w raporcie generowanym przez DETEKT znajdujemy określenie jakoby plik GDScan.exe
był groźny dla użytkownika.
Przeglądarki też obrywają
Drugim scenariuszem wypadków z DETEKT, który sprawdzili eksperci z G DATA
SecurityLabs dotyczył świeżo postawionego, nowego systemu Windows z
przeglądarką Mozilla Firefox dzięki której zostało pobrane narzędzie darmowe
narzędzie skanujące.
Po uruchomieniu oprogramowania od Amnesty International określiło ono plik
firefox.exe jako spyware, miało to bezpośredni związek z zawartością pamięci przeglądarki.
Wciąż mogliśmy tam odnaleźć informacje o samym narzędziu DETEKT jak i regułach
Yara zawartych w jego kodzie. Brawo!
DETEKT znów się wykrył;)
Narzędzie DETEK jest dostępna dla wszystkich, ale interpretacja
przedstawionych przez niego wyników skanowania powinna być pozostawiona
fachowcom. Jeżeli nie masz pojęcia o
zasadach kierujących działaniami systemów komputerowych w przypadku komunikatów
wzbudzających twoje podejrzenia nie panikuj oraz nie reaguj zbyt pochopnie. Zasada
nie korzystania z dwóch antywirusów na jednym komputerze to podstawa
bezpieczeństwa IT. No chyba, że korzystasz z oprogramowania G DATA z jego
dwoma niezależnymi silnikami antywirusowymi dostarczającymi sprawdzonej i
najlepszej cyfrowej ochrony na rynku.
G DATA dostarcza swoim użytkownikom domowym jak i biznesowym
bezkompromisowej ochrony. Bez tworzenia sztucznego podziału na sprawców
będących hakerami oraz tych wywodzących się z administracji państwowej. Zgodnie
z dewizą TRUST IN GERMAN SICHERHEIT G DATA Software dostarcza swoje rozwiązania
bez ukrytych rządowych backdoorów czy tylnych furtek. Oprogramowanie G DATA,
gdziekolwiek byś go nie używał, gwarantuje przestrzeganie surowych niemieckich
przepisów o ochronie danych i informacji.
Jak się zabezpieczyć?
G DATA TOTAL PROTECTION to antywirus kompletny oferujący najwyższy poziom ochrony.
- Firewall chroniący przed atakami hakerów monitoruje wszystkie połączenia przychodzące i wychodzące dostarczając tym samym sprawdzonej ochrony przed atakami sieciowymi bez drażniących powiadomień pop-up
- Aktywna ochrona przed exploitami to moduł eliminujący luki bezpieczeństwa zainstalowanego oprogramowania – od edytorów tekstowych po dodatki do przeglądarki
- Web Cloud blokuje dostęp do niebezpiecznych stron internetowych chroniąc Twój komputer
- Bezpieczna bankowość i zakupy online. BankGuard 2.0 to opatentowana technologia chroniąca przed wykradzeniem danych dostępowych do usług bankowości elektronicznej. Teraz z dodatkową ochroną przed keyloggerami
Komentarze
Prześlij komentarz