image

Amnesty lanceert gratis scanner tegen overheidsspyware

donderdag 20 november 2014, 11:21 door Redactie, 20 reacties

Mensenrechtenorganisatie Amnesty heeft samen met burgerrechtenbewegingen en onderzoekers een gratis scanner tegen overheidsspyware gelanceerd. Via de tool kunnen zowel activisten als burgers hun Windowscomputer op spyware scannen die door overheden wordt gebruikt.

"Overheden gebruiken steeds vaker gevaarlijke en geraffineerde technologie waardoor ze op afstand de privémails van activisten en journalisten kunnen lezen en de camera of microfoon van hun computer in het geheim kunnen inschakelen om hun activiteiten op te nemen. Ze gebruiken technologie op een laffe manier om te voorkomen dat misstanden aan het licht komen", zegt Marek Marczynski van Amnesty in een blogposting.

De nu gelanceerde tool heet Detekt en is ontwikkeld door beveiligingsonderzoeker Claudio Guarnieri. Gebruikers worden wel gewaarschuwd dat de scanner geen definitieve conclusie geeft of er spyware op het systeem staat. In het geval er wel spyware wordt aangetroffen krijgen gebruikers het advies om hulp te zoeken. De tool verwijdert daarnaast geen infecties, maar waarschuwt alleen als het verdachte bestanden aantreft.

Reacties (20)
20-11-2014, 11:43 door Anoniem
Zou dit programma nou malware kunnen detecteren waar andere antivirus programma's niet op scannen? Nee toch?

Leuk initiatief, alleen iets te vroeg uitgebracht, aangezien er niet eens support is voor Windows 8.1 64bit ...
20-11-2014, 12:49 door Anoniem
En voor de Mac? Tsk!
20-11-2014, 13:47 door Anoniem
Ehm voor de mac? Die is toch helemaal veilig?
20-11-2014, 14:11 door shured
Ook geen Linux. Blijkbaar zijn de overheden alleen geïnteresseerd in windows gebruikers.
20-11-2014, 14:25 door Anoniem
Mensen, zie dit als een begin, een 1.0 versie is nooit volledig, dit past gewoon goed in het bewustwordingsproces over overheidsspyware en privacy gereletateerde issues.
20-11-2014, 15:13 door Anoniem
De eerste reaguurder heeft gelijk, waarom zou Amnesty iets kunnen, wat professionals niet kunnen.
Amnesty is een zeg maar linkse club, en die staat per definitie argwanend tegenover de overheid, en door een nep programma aan te bieden, kan je de overheid van iets beschuldigen, zonder het te hoeven waarmaken.
20-11-2014, 15:37 door Anoniem
Door Anoniem: Zou dit programma nou malware kunnen detecteren waar andere antivirus programma's niet op scannen? Nee toch?

Er vanuit gaande, dat de overheid:

1. toegang heeft tot nog niet bekend gemaakte zwakheden
2. invloed kan (proberen) uit (te) oefenen op AV bedrijven

Is het niet uitgesloten, dat de "governmentware" normaal niet gemeld wordt.
20-11-2014, 19:07 door Anoniem
Door Anoniem:
Door Anoniem: Zou dit programma nou malware kunnen detecteren waar andere antivirus programma's niet op scannen? Nee toch?

Er vanuit gaande, dat de overheid:

1. toegang heeft tot nog niet bekend gemaakte zwakheden
2. invloed kan (proberen) uit (te) oefenen op AV bedrijven

Is het niet uitgesloten, dat de "governmentware" normaal niet gemeld wordt.

Dan zou "de overheid" dus bij die AV-boeren te biecht moeten zijn gegaan wat die "governmentware" is waar men met de vingerjes niet aan zou mogen komen. En gij geleuft dat?
20-11-2014, 22:08 door Anoniem
Interessant...
Ik heb het net, o.m. met PE, detekt.exe eens even bekeken.
Het 'scant' (inventariseert) enkel geladen processen en de daaraan gekoppelde bestanden op schijf, meer niet.
Het enige dat ik nog uit wil zoeken is hoe die 'definities' in elkaar steken (.yar?), want daar ben ik wel benieuwd naar, vooral ook omdat er geen definities lijken te worden opgehaald verder. Dus ik ga zo nog ff door met prullen...

En denk even na mensen:
AV-boeren luisteren braaf naar de 'trusted vendor' -lijstjes, de vraag is dan vervolgens welke 'trusted vendors' niet te vertrouwen zijn natuurlijk.
Of wil iemand gaan beweren dat de ontwikkelaars van 'legale' malware bij iedere update van hun crapware, virustotal even raadplegen om te kijken welke AV-boer nu weer aangeschreven miet worden vanwege een 'false positive' ?
20-11-2014, 22:15 door Anoniem
Wat een makkelijke praatjes allemaal!

Anti Amnesty ??

Dit is verdorie een organisatie die zich inzet voor mensenrechten en dan komen er dit soort 'puberreacties' ??

- Iemand (met Windows) al de moeite genomen om Detekt te installeren en te kijken hoe het draait?
- Iemand al de moeite genomen om te achterhalen op welke definities het dan allemaal scant?
- Iemand al de moeite genomen om te kijken wat dan de overlap is met de Av definities van de eigen scanner (bijvoorbeeld)

De download om te onderzoeken (bijvoorbeeld)
https://github.com/botherder/detekt/releases/tag/v1.1

Of files om verder te onderzoeken (bijvoorbeeld)
https://github.com/botherder/detekt

Deze definitie zit er in ieder geval tussen, " detection = "FinFisher FinSpy" "

Huiswerk !
Nu is het aan jullie (jonge) security onderzoekers, doe tenminste een poging en kom dan terug met wat interessantere inhoudelijke reacties.
Dat hebben ze wel verdiend.
20-11-2014, 23:11 door Anoniem
(Eerdere reactie ± 22:15 nog niet geplaatst)

Daarop niet gewacht met een aanzet / aanvulling.

Bij uitblijven van inhoudelijke analyses en zelf wel benieuwd naar de definities waar het op scant (geen windows ter beschikking) een greep uit (het einde van) de exe code genomen en met wat copy paste zoek en vervang werk zie ik al bekende namen voorbij komen.

- blackshades (rat)
- darkcomet (rat)
- finfisher
- gh0st (rat)
- njrat (rat)

Verder vele plugin definities voor (natuurlijk) Windows.

Maar, er zijn ook al definities voor Mac en Linux in opgenomen ?
Zeker 73 plugin scandefinities voor Linux en zeker 65 plugindefinities voor de Mac.

Interessant
(wordt vervolgd / aangevuld?)
21-11-2014, 11:22 door Anoniem
Ik wilde het proberen maar 8.1 wordt (nog) niet ondersteund.
21-11-2014, 11:53 door Anoniem
64 bit wordt niet ondersteund met een reden; problems
https://github.com/botherder/detekt/commit/8d4162754dcf2761efcfd67241db2c8cfc2372fe

In een ander lijstje komen we ook weer bekende definities tegen
https://github.com/botherder/detekt/commit/08a08732a8263dfef7742002f20c3be28693626f

@@ include "darkcomet.yar"
include "xtreme.yar"
include "rcs.yar"
include "finfisher.yar"
-include "njrat.yar"
+//include "njrat.yar"
include "shadowtech.yar"
include "gh0st.yar"

Hoop Ratten, niet van pubers maar gebruikt door overheden.
Gelukkig jaagt epol met groot succes op Rats!

https://www.security.nl/posting/409322/Europol+arresteert+tieners+wegens+gebruik+van+malware

Met die hulp in haar strijd is Amnesty vast heel blij...
21-11-2014, 17:10 door Anoniem
Claudio Guarnieri is het meesterbrein achter dit programma, en heeft jarenlang deel uitgemaakt van de hackersbeweging, vermoedelijk ook van de beruchte hackerscollectief Anonymous.
Amnesty gaat dus in zee met mensen die zogenaamd nu aan de kant van het volk staan, in de strijd tegen de kwaadwillende overheid. Is er al een broncode van Detekt beschikbaar, zodat gecontroleerd kan worden of Detekt zelf geen paard van Troje is.
21-11-2014, 22:03 door Anoniem
Door Anoniem: Claudio Guarnieri is het meesterbrein achter dit programma, en heeft jarenlang deel uitgemaakt van de hackersbeweging, vermoedelijk ook van de beruchte hackerscollectief Anonymous.
Amnesty gaat dus in zee met mensen die zogenaamd nu aan de kant van het volk staan, in de strijd tegen de kwaadwillende overheid. Is er al een broncode van Detekt beschikbaar, zodat gecontroleerd kan worden of Detekt zelf geen paard van Troje is.
Zie alle github-links hierboven + getest en géén phone-home fratsen.

Maar met die definities ben ik nog steeds niet veel opgeschoten :(
22-11-2014, 20:22 door Anoniem
"..vermoedelijk ook van de beruchte hackerscollectief Anonymous.
Amnesty gaat dus in zee met mensen die..."

Het 'vermoedelijk' en 'dus' strookt niet met elkaar. Je tracht hier een aanname te presenteren als feit. Doe dat 'es niet, staat zo debiel.
27-11-2014, 15:06 door Anoniem
Leuk initiatief, alleen iets te vroeg uitgebracht, aangezien er niet eens support is voor Windows 8.1 64bit ...

Wat is de relevantie, die ondersteuning kan altijd later nog worden geboden. Moeten gebruikers die niet Win8.1 64bit gebruiken langer wachten op de tool, vanwege deze ondersteuning ? Welk nut heeft het op de release daarvoor uit te gaan stellen ? Ik snap je punt niet geheel.

Zou dit programma nou malware kunnen detecteren waar andere antivirus programma's niet op scannen? Nee toch?

Ja, dat kan zeker. Ik heb in mijn malware lab ook dagelijks nieuwe samples, die nog niet worden gedetecteerd door virusscanners. Dat wil niet zeggen dat je geen detectie kan maken voor die samples op basis van bijvoorbeeld files, registry keys en mutexes die kenmerkend zijn voor die samples.
27-11-2014, 15:08 door Anoniem
Amnesty gaat dus in zee met mensen die zogenaamd nu aan de kant van het volk staan, in de strijd tegen de kwaadwillende overheid. Is er al een broncode van Detekt beschikbaar, zodat gecontroleerd kan worden of Detekt zelf geen paard van Troje is.

Grappig hoe mensen hier met modder smijten. Iedereen die Claudio persoonlijk kent, weet dat deze suggestieve opmerking kan nog wal raakt.
27-11-2014, 15:11 door Anoniem
Er vanuit gaande, dat de overheid:

1. toegang heeft tot nog niet bekend gemaakte zwakheden
2. invloed kan (proberen) uit (te) oefenen op AV bedrijven

Is het niet uitgesloten, dat de "governmentware" normaal niet gemeld wordt.

Lol, ik kan je (als medewerker van een AV bedrijf) toch wel met zekerheid vertellen dat de overheid informatie over dergelijke malware zeer zeker niet verstrekt. Denk jij dat als ik naar de politie of AIVD stap met het verzoek om mij alle indicatoren te verschaffen t.b.v. whitelisting, zij deze inforrmatie aan mij gaan verstrekken ? Ik denk het toch niet ;)
27-11-2014, 15:15 door Anoniem
De eerste reaguurder heeft gelijk, waarom zou Amnesty iets kunnen, wat professionals niet kunnen.
Amnesty is een zeg maar linkse club, en die staat per definitie argwanend tegenover de overheid, en door een nep programma aan te bieden, kan je de overheid van iets beschuldigen, zonder het te hoeven waarmaken.

De tool wordt niet gemaakt door Amnesty, maar door professionals. Je opmerking raakt kant nog wal. Verder hebben de activiteiten van Amnesty erg weinig van doen met de vraag of je links of rechts bent. Of denk je dat alleen linkse mensen waarde hechten aan mensenrechten, en bezwaar hebben tegen het opsluiten, martelen, of doen verdwijnen van politieke tegenstanders door repressieve regimes ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.