Przejdź do głównej zawartości

DETEKT - ochrona przed inwigilacją. Robisz to źle!

Co musimy wiedzieć o programie DETEKT

W ten sposób nie będziesz anonimowy w sieci. Poza nią także nie.
Dzięki współpracy organizacji takich jak Amnesty International, Digitale Gesellschaft, Electronic Frontier Foundation oraz Privacy International od kilku dni możemy ściągnąć z sieci darmowe narzędzie o nazwie DETEKT. Podstawowym zamierzeniem twórców było zwiększenie świadomości zagrożeń cyberszpiegowaniem ze strony instytucji państwowych w szczególności wśród dziennikarzy, działaczy organizacji pozarządowych ale także zwykłych użytkowników. Narzędzie o bardzo ograniczonych możliwościach przeznaczone jest do wykrywania jedynie kilku rodzin złośliwych programów szpiegujących o rządowym rodowodzie i pochodzeniu. Eksperci G DATA uznali, że użytkownicy powinni poznać możliwości tego narzędzia oraz jego poważne ograniczenia.

Czym jest „DETEKT”?
To niewielki narzędzie do skanowania komputera oraz wykrywania jedynie 8 różnych rodzin oprogramowania szpiegującego jak podaje producent. Najbardziej znanym  programem typu spyware wykrywanym przez DETEKT jest FinSpy firmy FinFisher.

Jak to działa?
DETEKT korzysta z reguł Yara, by wykonać skanowanie pamięci szukając określonych łańcuchów znaków (np. nazwy plików lub ścieżki), które znane są z wykorzystywania przez odpowiednie rodziny złośliwego oprogramowania. W przypadku odnalezienia pasujących łańcuchów znaków narzędzie informuje użytkownika o możliwej infekcji.

Ograniczenia narzędzia
Po pierwsze DETEKT jest oprogramowaniem bazującym jedynie na metodach reaktywnych podczas skanowania pamięci sprawdzanego urządzenia. Przykładowo dziennikarz korzystający z takiego narzędzia zostanie poinformowany o zagrożeniu szpiegowaniem już po udanym zainfekowaniu komputera. Nie zapobiega szkodnikom, nie usuwa ich ani nie poddaje kwarantannie wykrytych plików. Strona projektu na wypadek wykrytej infekcji wzywa użytkownika do „odłączenia komputera od internetu i wezwania eksperta do pomocy”. Znajdziemy też porady dotyczące całkowitego zaprzestania korzystania z naszego komputera, a nawet fizycznego pozbycia się samego sprzętu! Tak drastyczne komunikaty mogą wprawiać użytkowników w osłupienie i z pewnością nie pomagają w trzeźwej ocenie sytuacji w której się znaleźli.  Eksperci G DATA SecurityLabs podpisują się jedynie pod jedną radą dostępną na stronie DETEKT, którą jest kontakt z odpowiednim fachowcem w dziedzinie bezpieczeństwa komputerowego.

Co więcej, reguły Yara z których korzystali autorzy są ogólnie dostępne w sieci. Więc możemy spokojnie rozsiąść się w fotelu i z zegarkiem w ręku czekać na nowe, uaktualnione wersje złośliwego oprogramowania prosto od hakerów. Wynik jasny do przewidzenia, uniknięcie ich wykrycia przez narzędzie którego dostarczycielem jest Amnesty International.  Ponadto wciąż mogą istnieć szkodliwe programy szpiegujące niewykrywane przez DETEKT, choć jak deklarują autorzy, narzędzie będzie wciąż rozwijane i aktualizowane. Na stronie możemy znaleźć taki opis „zachęcamy naukowców, badaczy bezpieczeństwa IT oraz społeczność open source do pomocy w pracach nad projektem”.  Ważna informacja dla użytkowników „jeżeli DETEKT nie wykryje żadnych zagrożeń na Twoim komputerze nie oznacza to, że sprzęt z którego korzystasz jest wolny od oprogramowania szpiegującego” podsumowują przedstawiciele autorzy.

Podsumowanie
Opublikowanie narzędzia DETEKT zdobyło uznanie wśród osób z branży bezpieczeństwa IT, jako przyczynek do rozpoczęcia poważnej dyskusji na temat inwigilowania użytkowników przez organy państwowe. Musimy jednak być pewni, że osoby korzystające z tego narzędzia nie pomylą go z kompleksowym pakietem bezpieczeństwa, gdyż program DETEKT takim z pewnością nie jest.

AKTUALIZACJA

Seria fałszywych alarmów niepokoi użytkowników

Twórcy narzędzia DETEKT wykrywającego ograniczoną ilość rządowych programów szpiegujących na podstawie sztywnych reguł Yara, mieli z pewnością dobre intencje jednak wykonanie aplikacji pozostawia wiele do życzenia.

Mniej reguł
Twórcy pozbyli się z kodu programu 6 z 8 reguł odpowiadających za wykrywanie złośliwego oprogramowania. Oznacza to, że DETEKT w obecnej chwili wykrywa jedynie dwa zagrożenia odpowiedzialne za wykradanie danych użytkowników. Prawdopodobnym powodem mógłbyć problem z ogromną ilością fałszywych alarmów generowanych przez skaner.  Zgodnie z komentarzami do kodu dostępnymi na serwisie GitHub.



# TODO: this is hacky, need to find a better solution to false positives
# especially with security software

DETEKT zjada własny ogon
Pakiety antywirusowe w szczególności dały się we znaki autorom rozwiązania od Amnesty International.  Większość rozwiązań bezpieczeństwa wykorzystuje skanowanie dostępowe w czasie rzeczywistym (on access).

Skanowanie dostępowe
Skanowanie to polega na kontrolowaniu wszystkich prób dostępu do plików na dyskach. Skanowanie odbywa się w tle przy użyciu filtra zintegrowanego z systemem. Odczyt, zapis i uruchomienie dowolnego pliku poprzedzone jest skanowaniem antywirusowym. Jeśli skaner dostępowy (monitor) wykryje złośliwe oprogramowanie w pliku, do którego system lub użytkownik próbuje uzyskać dostęp, podejmuje zdefiniowane wcześniej działanie (usunięcie, próbę dezynfekcji, zablokowanie, czy też przeniesienie pliku do zabezpieczonego folderu – kwarantanny). Ze względów bezpieczeństwa skanowanie dostępowe powinno być stale włączone.

Wykrywanie samego siebie nie wróży dobrze.
Sytuacja ma miejsce w momencie wykonywania plików DETEKT po wcześniejszym zapisaniu ich na dysku.  Po uruchomieniu pliku programu DETEKT antywirus G DATA skanuje go pod kątem zagrożeń ładując kod aplikacji wraz z zawartymi w nim regułami Yara do swojej pamięci celem dokładnego przeskanowania. W momencie skanowania komputera oprogramowaniem DETEKT… wykrywa swój własny kod jako złośliwy. Odnajduję łańcuch znaków zawarty w regułach Yara, który został przeskanowany przez oprogramowanie G DATA. Właśnie w ten sposób w raporcie generowanym przez DETEKT znajdujemy określenie jakoby plik GDScan.exe był groźny dla użytkownika.

Przeglądarki też obrywają
Drugim scenariuszem wypadków z DETEKT, który sprawdzili eksperci z G DATA SecurityLabs dotyczył świeżo postawionego, nowego systemu Windows z przeglądarką Mozilla Firefox dzięki której zostało pobrane narzędzie darmowe narzędzie skanujące.

Po uruchomieniu oprogramowania od Amnesty International określiło ono plik firefox.exe jako spyware, miało to bezpośredni związek z zawartością pamięci przeglądarki. Wciąż mogliśmy tam odnaleźć informacje o samym narzędziu DETEKT jak i regułach Yara zawartych w jego kodzie.  Brawo! DETEKT znów się wykrył;)

Narzędzie DETEK jest dostępna dla wszystkich, ale interpretacja przedstawionych przez niego wyników skanowania powinna być pozostawiona fachowcom.  Jeżeli nie masz pojęcia o zasadach kierujących działaniami systemów komputerowych w przypadku komunikatów wzbudzających twoje podejrzenia nie panikuj oraz nie reaguj zbyt pochopnie. Zasada nie korzystania z dwóch antywirusów na jednym komputerze to podstawa bezpieczeństwa IT. No chyba, że korzystasz z oprogramowania G DATA z jego dwoma niezależnymi silnikami antywirusowymi dostarczającymi sprawdzonej i najlepszej cyfrowej ochrony na rynku.


G DATA dostarcza swoim użytkownikom domowym jak i biznesowym bezkompromisowej ochrony. Bez tworzenia sztucznego podziału na sprawców będących hakerami oraz tych wywodzących się z administracji państwowej. Zgodnie z dewizą TRUST IN GERMAN SICHERHEIT G DATA Software dostarcza swoje rozwiązania bez ukrytych rządowych backdoorów czy tylnych furtek. Oprogramowanie G DATA, gdziekolwiek byś go nie używał, gwarantuje przestrzeganie surowych niemieckich przepisów o ochronie danych i informacji.

Jak się zabezpieczyć?

G DATA TOTAL PROTECTION to antywirus kompletny oferujący najwyższy poziom ochrony.

  • Firewall chroniący przed atakami hakerów monitoruje wszystkie połączenia przychodzące i wychodzące dostarczając tym samym sprawdzonej ochrony przed atakami sieciowymi bez drażniących powiadomień pop-up
  • Aktywna ochrona przed exploitami to moduł eliminujący luki bezpieczeństwa zainstalowanego oprogramowania – od edytorów tekstowych po dodatki do przeglądarki
  • Web Cloud blokuje dostęp do niebezpiecznych stron internetowych chroniąc Twój komputer
  • Bezpieczna bankowość i zakupy online. BankGuard 2.0 to opatentowana technologia chroniąca przed wykradzeniem danych dostępowych do usług bankowości elektronicznej. Teraz z dodatkową ochroną przed keyloggerami

Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ostrzegamy! Uważajcie na fałszywe maile od Poczty Polskiej

Od kilku dni do naszego laboratorium antywirusowego trafia ogromna liczba zgłoszeń o fałszywych mailach, których rzekomym nadawcą jest Poczta Polska. Maile są dość nieudolnie zredagowane, jednak mogą wprowadzić w błąd mniej doświadczonych lub chwilowo roztargnionych odbiorców.
Już sam tytuł wiadomości powinien spowodować zapalenie się czerwonej lampki w naszych głowach!


Nagłówek Niedostarczoneprzesylkina 7.05.2015, kod:447976prócz  polskich znaków diakrytycznych pozbawiony jest również sensu. W samej treści maila także nie uświadczymy poprawnej polszczyzny, natrafimy za to na maszynowe tłumaczenia z wykorzystaniem translatora internetowego co może sugerować zagraniczne pochodzenie maili.




Jednak te podstawowe błędy, które dyskwalifikują wiadomość, mogą zostać pominięte przez niecierpliwych czekających na internetowe zakupy lub bardzo ważną przesyłkę. Jeżeli odbiorca kliknie (nie róbcie tego w domu!) w buton „Zobacz informacje” zostanie przekierowany do fałszywej strony Poczty Polskiej …

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…