DETEKT – narzędzie do wykrywania rządowych trojanów

27 listopada, 2014

Dzięki współpracy organizacji takich jak Amnesty International, Digitale Gesellschaft, Electronic Frontier Foundation oraz Privacy International od kilku dni możemy ściągnąć z sieci darmowe narzędzie o nazwie DETEKT. Podstawowym zamierzeniem twórców było zwiększenie świadomości cyberszpiegowania ze strony instytucji państwowych, w szczególności wśród dziennikarzy, działaczy organizacji pozarządowych, ale także zwykłych użytkowników. Narzędzie o bardzo ograniczonych możliwościach przeznaczone jest do wykrywania jedynie kilku rodzin złośliwych programów szpiegujących o rządowym rodowodzie i pochodzeniu. Eksperci G DATA uznali, że użytkownicy powinni poznać możliwości tego narzędzia oraz jego poważne ograniczenia.

DETEKT 1

DETEKT 2DETEKT 3

To niewielki narzędzie do skanowania komputera oraz wykrywania jedynie 8 różnych rodzin oprogramowania szpiegującego – jak podaje producent. Najbardziej znanym programem typu spyware wykrywanym przez DETEKT jest FinSpy firmy FinFisher.

DETEKT korzysta z reguł Yara, by wykonać skanowanie pamięci szukając określonych łańcuchów znaków (np. nazwy plików lub ścieżki), które znane są z wykorzystywania przez odpowiednie rodziny złośliwego oprogramowania. W przypadku odnalezienia pasujących łańcuchów znaków narzędzie informuje użytkownika o możliwej infekcji.

Ograniczenia narzędzia

Po pierwsze DETEKT jest oprogramowaniem bazującym jedynie na metodach reaktywnych podczas skanowania pamięci sprawdzanego urządzenia. Przykładowo, dziennikarz korzystający z takiego narzędzia zostanie poinformowany o zagrożeniu już po zainfekowaniu komputera. DETEKT nie zapobiega szkodnikom, nie usuwa ich, ani nie poddaje kwarantannie wykrytych plików.

Strona projektu na wypadek wykrytej infekcji wzywa użytkownika do „odłączenia komputera od internetu i wezwania eksperta do pomocy”. Znajdziemy też porady dotyczące całkowitego zaprzestania korzystania z naszego komputera, a nawet fizycznego pozbycia się samego sprzętu! Tak drastyczne komunikaty mogą wprawiać użytkowników w osłupienie i z pewnością nie pomagają w trzeźwej ocenie sytuacji w której się znaleźli. Eksperci G DATA SecurityLabs podpisują się jedynie pod jedną radą dostępną na stronie DETEKT, którą jest kontakt z odpowiednim fachowcem w dziedzinie bezpieczeństwa komputerowego.

Co więcej, reguły Yara z których korzystali autorzy są ogólnie dostępne w sieci. Więc możemy spokojnie rozsiąść się w fotelu i z zegarkiem w ręku czekać na nowe, uaktualnione wersje złośliwego oprogramowania prosto od hakerów. Wynik jasny do przewidzenia, uniknięcie ich wykrycia przez narzędzie, którego dostawcą jest Amnesty International. Ponadto wciąż mogą istnieć szkodliwe programy szpiegujące niewykrywane przez DETEKT, choć jak deklarują autorzy, narzędzie będzie wciąż rozwijane i aktualizowane. Na stronie możemy znaleźć taki opis:

„Zachęcamy naukowców, badaczy bezpieczeństwa IT oraz społeczność open source do pomocy w pracach nad projektem”.  Ważna informacja dla użytkowników „jeżeli DETEKT nie wykryje żadnych zagrożeń na Twoim komputerze nie oznacza to, że sprzęt z którego korzystasz jest wolny od oprogramowania szpiegującego” podsumowują autorzy.

Opublikowanie narzędzia DETEKT zdobyło uznanie wśród osób z branży bezpieczeństwa IT. Musimy jednak być pewni, że osoby korzystające z tego narzędzia nie pomylą go z kompleksowym pakietem bezpieczeństwa, gdyż program DETEKT takim z pewnością nie jest.

Mniej reguł

Twórcy pozbyli się z kodu programu 6 z 8 reguł odpowiadających za wykrywanie złośliwego oprogramowania. Oznacza to, że DETEKT w obecnej chwili wykrywa jedynie dwa zagrożenia odpowiedzialne za wykradanie danych użytkowników. Prawdopodobnym powodem mógłbyć problem z ogromną ilością fałszywych alarmów generowanych przez skaner. Zgodnie z komentarzami do kodu dostępnymi na serwisie GitHub.

# TODO: this is hacky, need to find a better solution to false positives
# especially with security software

Przeglądarki obrywają

DETEKT nie jest bez wad. Eksperci z G DATA SecurityLabs sprawdzili wykrywalność narzędzia na świeżo postawionym systemie z przeglądarką Mozilla Firefox, dzięki której zostało pobrane narzędzie darmowe narzędzie skanujące. Po uruchomieniu oprogramowania od Amnesty International określiło ono plik firefox.exe jako spyware, miało to bezpośredni związek z zawartością pamięci przeglądarki. Wciąż mogliśmy tam odnaleźć informacje o samym narzędziu DETEKT jak i regułach Yara zawartych w jego kodzie. Brawo! DETEKT wykrył się sam 😉

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]