Przejdź do głównej zawartości

DETEKT - ochrona przed inwigilacją. Robisz to źle!

Co musimy wiedzieć o programie DETEKT

W ten sposób nie będziesz anonimowy w sieci. Poza nią także nie.
Dzięki współpracy organizacji takich jak Amnesty International, Digitale Gesellschaft, Electronic Frontier Foundation oraz Privacy International od kilku dni możemy ściągnąć z sieci darmowe narzędzie o nazwie DETEKT. Podstawowym zamierzeniem twórców było zwiększenie świadomości zagrożeń cyberszpiegowaniem ze strony instytucji państwowych w szczególności wśród dziennikarzy, działaczy organizacji pozarządowych ale także zwykłych użytkowników. Narzędzie o bardzo ograniczonych możliwościach przeznaczone jest do wykrywania jedynie kilku rodzin złośliwych programów szpiegujących o rządowym rodowodzie i pochodzeniu. Eksperci G DATA uznali, że użytkownicy powinni poznać możliwości tego narzędzia oraz jego poważne ograniczenia.

Czym jest „DETEKT”?
To niewielki narzędzie do skanowania komputera oraz wykrywania jedynie 8 różnych rodzin oprogramowania szpiegującego jak podaje producent. Najbardziej znanym  programem typu spyware wykrywanym przez DETEKT jest FinSpy firmy FinFisher.

Jak to działa?
DETEKT korzysta z reguł Yara, by wykonać skanowanie pamięci szukając określonych łańcuchów znaków (np. nazwy plików lub ścieżki), które znane są z wykorzystywania przez odpowiednie rodziny złośliwego oprogramowania. W przypadku odnalezienia pasujących łańcuchów znaków narzędzie informuje użytkownika o możliwej infekcji.

Ograniczenia narzędzia
Po pierwsze DETEKT jest oprogramowaniem bazującym jedynie na metodach reaktywnych podczas skanowania pamięci sprawdzanego urządzenia. Przykładowo dziennikarz korzystający z takiego narzędzia zostanie poinformowany o zagrożeniu szpiegowaniem już po udanym zainfekowaniu komputera. Nie zapobiega szkodnikom, nie usuwa ich ani nie poddaje kwarantannie wykrytych plików. Strona projektu na wypadek wykrytej infekcji wzywa użytkownika do „odłączenia komputera od internetu i wezwania eksperta do pomocy”. Znajdziemy też porady dotyczące całkowitego zaprzestania korzystania z naszego komputera, a nawet fizycznego pozbycia się samego sprzętu! Tak drastyczne komunikaty mogą wprawiać użytkowników w osłupienie i z pewnością nie pomagają w trzeźwej ocenie sytuacji w której się znaleźli.  Eksperci G DATA SecurityLabs podpisują się jedynie pod jedną radą dostępną na stronie DETEKT, którą jest kontakt z odpowiednim fachowcem w dziedzinie bezpieczeństwa komputerowego.

Co więcej, reguły Yara z których korzystali autorzy są ogólnie dostępne w sieci. Więc możemy spokojnie rozsiąść się w fotelu i z zegarkiem w ręku czekać na nowe, uaktualnione wersje złośliwego oprogramowania prosto od hakerów. Wynik jasny do przewidzenia, uniknięcie ich wykrycia przez narzędzie którego dostarczycielem jest Amnesty International.  Ponadto wciąż mogą istnieć szkodliwe programy szpiegujące niewykrywane przez DETEKT, choć jak deklarują autorzy, narzędzie będzie wciąż rozwijane i aktualizowane. Na stronie możemy znaleźć taki opis „zachęcamy naukowców, badaczy bezpieczeństwa IT oraz społeczność open source do pomocy w pracach nad projektem”.  Ważna informacja dla użytkowników „jeżeli DETEKT nie wykryje żadnych zagrożeń na Twoim komputerze nie oznacza to, że sprzęt z którego korzystasz jest wolny od oprogramowania szpiegującego” podsumowują przedstawiciele autorzy.

Podsumowanie
Opublikowanie narzędzia DETEKT zdobyło uznanie wśród osób z branży bezpieczeństwa IT, jako przyczynek do rozpoczęcia poważnej dyskusji na temat inwigilowania użytkowników przez organy państwowe. Musimy jednak być pewni, że osoby korzystające z tego narzędzia nie pomylą go z kompleksowym pakietem bezpieczeństwa, gdyż program DETEKT takim z pewnością nie jest.

AKTUALIZACJA

Seria fałszywych alarmów niepokoi użytkowników

Twórcy narzędzia DETEKT wykrywającego ograniczoną ilość rządowych programów szpiegujących na podstawie sztywnych reguł Yara, mieli z pewnością dobre intencje jednak wykonanie aplikacji pozostawia wiele do życzenia.

Mniej reguł
Twórcy pozbyli się z kodu programu 6 z 8 reguł odpowiadających za wykrywanie złośliwego oprogramowania. Oznacza to, że DETEKT w obecnej chwili wykrywa jedynie dwa zagrożenia odpowiedzialne za wykradanie danych użytkowników. Prawdopodobnym powodem mógłbyć problem z ogromną ilością fałszywych alarmów generowanych przez skaner.  Zgodnie z komentarzami do kodu dostępnymi na serwisie GitHub.



# TODO: this is hacky, need to find a better solution to false positives
# especially with security software

DETEKT zjada własny ogon
Pakiety antywirusowe w szczególności dały się we znaki autorom rozwiązania od Amnesty International.  Większość rozwiązań bezpieczeństwa wykorzystuje skanowanie dostępowe w czasie rzeczywistym (on access).

Skanowanie dostępowe
Skanowanie to polega na kontrolowaniu wszystkich prób dostępu do plików na dyskach. Skanowanie odbywa się w tle przy użyciu filtra zintegrowanego z systemem. Odczyt, zapis i uruchomienie dowolnego pliku poprzedzone jest skanowaniem antywirusowym. Jeśli skaner dostępowy (monitor) wykryje złośliwe oprogramowanie w pliku, do którego system lub użytkownik próbuje uzyskać dostęp, podejmuje zdefiniowane wcześniej działanie (usunięcie, próbę dezynfekcji, zablokowanie, czy też przeniesienie pliku do zabezpieczonego folderu – kwarantanny). Ze względów bezpieczeństwa skanowanie dostępowe powinno być stale włączone.

Wykrywanie samego siebie nie wróży dobrze.
Sytuacja ma miejsce w momencie wykonywania plików DETEKT po wcześniejszym zapisaniu ich na dysku.  Po uruchomieniu pliku programu DETEKT antywirus G DATA skanuje go pod kątem zagrożeń ładując kod aplikacji wraz z zawartymi w nim regułami Yara do swojej pamięci celem dokładnego przeskanowania. W momencie skanowania komputera oprogramowaniem DETEKT… wykrywa swój własny kod jako złośliwy. Odnajduję łańcuch znaków zawarty w regułach Yara, który został przeskanowany przez oprogramowanie G DATA. Właśnie w ten sposób w raporcie generowanym przez DETEKT znajdujemy określenie jakoby plik GDScan.exe był groźny dla użytkownika.

Przeglądarki też obrywają
Drugim scenariuszem wypadków z DETEKT, który sprawdzili eksperci z G DATA SecurityLabs dotyczył świeżo postawionego, nowego systemu Windows z przeglądarką Mozilla Firefox dzięki której zostało pobrane narzędzie darmowe narzędzie skanujące.

Po uruchomieniu oprogramowania od Amnesty International określiło ono plik firefox.exe jako spyware, miało to bezpośredni związek z zawartością pamięci przeglądarki. Wciąż mogliśmy tam odnaleźć informacje o samym narzędziu DETEKT jak i regułach Yara zawartych w jego kodzie.  Brawo! DETEKT znów się wykrył;)

Narzędzie DETEK jest dostępna dla wszystkich, ale interpretacja przedstawionych przez niego wyników skanowania powinna być pozostawiona fachowcom.  Jeżeli nie masz pojęcia o zasadach kierujących działaniami systemów komputerowych w przypadku komunikatów wzbudzających twoje podejrzenia nie panikuj oraz nie reaguj zbyt pochopnie. Zasada nie korzystania z dwóch antywirusów na jednym komputerze to podstawa bezpieczeństwa IT. No chyba, że korzystasz z oprogramowania G DATA z jego dwoma niezależnymi silnikami antywirusowymi dostarczającymi sprawdzonej i najlepszej cyfrowej ochrony na rynku.


G DATA dostarcza swoim użytkownikom domowym jak i biznesowym bezkompromisowej ochrony. Bez tworzenia sztucznego podziału na sprawców będących hakerami oraz tych wywodzących się z administracji państwowej. Zgodnie z dewizą TRUST IN GERMAN SICHERHEIT G DATA Software dostarcza swoje rozwiązania bez ukrytych rządowych backdoorów czy tylnych furtek. Oprogramowanie G DATA, gdziekolwiek byś go nie używał, gwarantuje przestrzeganie surowych niemieckich przepisów o ochronie danych i informacji.

Jak się zabezpieczyć?

G DATA TOTAL PROTECTION to antywirus kompletny oferujący najwyższy poziom ochrony.

  • Firewall chroniący przed atakami hakerów monitoruje wszystkie połączenia przychodzące i wychodzące dostarczając tym samym sprawdzonej ochrony przed atakami sieciowymi bez drażniących powiadomień pop-up
  • Aktywna ochrona przed exploitami to moduł eliminujący luki bezpieczeństwa zainstalowanego oprogramowania – od edytorów tekstowych po dodatki do przeglądarki
  • Web Cloud blokuje dostęp do niebezpiecznych stron internetowych chroniąc Twój komputer
  • Bezpieczna bankowość i zakupy online. BankGuard 2.0 to opatentowana technologia chroniąca przed wykradzeniem danych dostępowych do usług bankowości elektronicznej. Teraz z dodatkową ochroną przed keyloggerami

Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ekspert ds. bezpieczeństwa na wakacjach: Czy hotelowe sejfy są bezpieczne?

Okres letni w mediach często nazywany ogórkowym ma swoje prawa. Jednym z nich są tematy, które normalnie nie przebiłyby się na pierwsze strony gazet czy nagłówki stron internetowych. Podobnie jest z historią, którą dziś będziemy chcieli wam przybliżyć. W normalny dzień roboczy nie jest to główne zadanie pracowników naszego SecurityLabu, jednak w okresie letnich wyjazdów postanowiliśmy sprawdzić jeden z hotelowych sejfów. I co? Z bezpieczeństwem nie ma on za dużo wspólnego.
Ekspert ds. bezpieczeństwa na wakacjach Wciąż jesteśmy na początku okresu wakacyjnego i wielu z nas długo wyczekiwany urlop ma wciąż w planach. Co powinniśmy wiedzieć wybierając się na wyjazd z wartościowymi rzeczami, na które tak ciężko pracowaliśmy przez cały rok poprzedzający nasz urlop? Jeżeli będziecie wypoczywać w hotelu możecie natknąć się w swoim pokoju na tzw. sejf hotelowy. Nasz ekspert wybrał się na zasłużoną przerwę od wyszukiwania i analizowania kolejnych wirusów i trojanów. W hotelu natknął się na popu…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…