Amnesty lanceert gratis scanner tegen overheidsspyware
Mensenrechtenorganisatie Amnesty heeft samen met burgerrechtenbewegingen en onderzoekers een gratis scanner tegen overheidsspyware gelanceerd. Via de tool kunnen zowel activisten als burgers hun Windowscomputer op spyware scannen die door overheden wordt gebruikt.
"Overheden gebruiken steeds vaker gevaarlijke en geraffineerde technologie waardoor ze op afstand de privémails van activisten en journalisten kunnen lezen en de camera of microfoon van hun computer in het geheim kunnen inschakelen om hun activiteiten op te nemen. Ze gebruiken technologie op een laffe manier om te voorkomen dat misstanden aan het licht komen", zegt Marek Marczynski van Amnesty in een blogposting.
De nu gelanceerde tool heet Detekt en is ontwikkeld door beveiligingsonderzoeker Claudio Guarnieri. Gebruikers worden wel gewaarschuwd dat de scanner geen definitieve conclusie geeft of er spyware op het systeem staat. In het geval er wel spyware wordt aangetroffen krijgen gebruikers het advies om hulp te zoeken. De tool verwijdert daarnaast geen infecties, maar waarschuwt alleen als het verdachte bestanden aantreft.
Leuk initiatief, alleen iets te vroeg uitgebracht, aangezien er niet eens support is voor Windows 8.1 64bit ...
Amnesty is een zeg maar linkse club, en die staat per definitie argwanend tegenover de overheid, en door een nep programma aan te bieden, kan je de overheid van iets beschuldigen, zonder het te hoeven waarmaken.
Er vanuit gaande, dat de overheid:
1. toegang heeft tot nog niet bekend gemaakte zwakheden
2. invloed kan (proberen) uit (te) oefenen op AV bedrijven
Is het niet uitgesloten, dat de "governmentware" normaal niet gemeld wordt.
Er vanuit gaande, dat de overheid:
1. toegang heeft tot nog niet bekend gemaakte zwakheden
2. invloed kan (proberen) uit (te) oefenen op AV bedrijven
Is het niet uitgesloten, dat de "governmentware" normaal niet gemeld wordt.
Dan zou "de overheid" dus bij die AV-boeren te biecht moeten zijn gegaan wat die "governmentware" is waar men met de vingerjes niet aan zou mogen komen. En gij geleuft dat?
Ik heb het net, o.m. met PE, detekt.exe eens even bekeken.
Het 'scant' (inventariseert) enkel geladen processen en de daaraan gekoppelde bestanden op schijf, meer niet.
Het enige dat ik nog uit wil zoeken is hoe die 'definities' in elkaar steken (.yar?), want daar ben ik wel benieuwd naar, vooral ook omdat er geen definities lijken te worden opgehaald verder. Dus ik ga zo nog ff door met prullen...
En denk even na mensen:
AV-boeren luisteren braaf naar de 'trusted vendor' -lijstjes, de vraag is dan vervolgens welke 'trusted vendors' niet te vertrouwen zijn natuurlijk.
Of wil iemand gaan beweren dat de ontwikkelaars van 'legale' malware bij iedere update van hun crapware, virustotal even raadplegen om te kijken welke AV-boer nu weer aangeschreven miet worden vanwege een 'false positive' ?
Anti Amnesty ??
Dit is verdorie een organisatie die zich inzet voor mensenrechten en dan komen er dit soort 'puberreacties' ??
- Iemand (met Windows) al de moeite genomen om Detekt te installeren en te kijken hoe het draait?
- Iemand al de moeite genomen om te achterhalen op welke definities het dan allemaal scant?
- Iemand al de moeite genomen om te kijken wat dan de overlap is met de Av definities van de eigen scanner (bijvoorbeeld)
De download om te onderzoeken (bijvoorbeeld)
https://github.com/botherder/detekt/releases/tag/v1.1
Of files om verder te onderzoeken (bijvoorbeeld)
https://github.com/botherder/detekt
Deze definitie zit er in ieder geval tussen, " detection = "FinFisher FinSpy" "
Huiswerk !
Nu is het aan jullie (jonge) security onderzoekers, doe tenminste een poging en kom dan terug met wat interessantere inhoudelijke reacties.
Dat hebben ze wel verdiend.
Daarop niet gewacht met een aanzet / aanvulling.
Bij uitblijven van inhoudelijke analyses en zelf wel benieuwd naar de definities waar het op scant (geen windows ter beschikking) een greep uit (het einde van) de exe code genomen en met wat copy paste zoek en vervang werk zie ik al bekende namen voorbij komen.
- blackshades (rat)
- darkcomet (rat)
- finfisher
- gh0st (rat)
- njrat (rat)
Verder vele plugin definities voor (natuurlijk) Windows.
Maar, er zijn ook al definities voor Mac en Linux in opgenomen ?
Zeker 73 plugin scandefinities voor Linux en zeker 65 plugindefinities voor de Mac.
Interessant
(wordt vervolgd / aangevuld?)
https://github.com/botherder/detekt/commit/8d4162754dcf2761efcfd67241db2c8cfc2372fe
In een ander lijstje komen we ook weer bekende definities tegen
https://github.com/botherder/detekt/commit/08a08732a8263dfef7742002f20c3be28693626f
include "xtreme.yar"
include "rcs.yar"
include "finfisher.yar"
-include "njrat.yar"
+//include "njrat.yar"
include "shadowtech.yar"
include "gh0st.yar"
Hoop Ratten, niet van pubers maar gebruikt door overheden.
Gelukkig jaagt epol met groot succes op Rats!
https://www.security.nl/posting/409322/Europol+arresteert+tieners+wegens+gebruik+van+malware
Met die hulp in haar strijd is Amnesty vast heel blij...
Amnesty gaat dus in zee met mensen die zogenaamd nu aan de kant van het volk staan, in de strijd tegen de kwaadwillende overheid. Is er al een broncode van Detekt beschikbaar, zodat gecontroleerd kan worden of Detekt zelf geen paard van Troje is.
Amnesty gaat dus in zee met mensen die zogenaamd nu aan de kant van het volk staan, in de strijd tegen de kwaadwillende overheid. Is er al een broncode van Detekt beschikbaar, zodat gecontroleerd kan worden of Detekt zelf geen paard van Troje is.
Maar met die definities ben ik nog steeds niet veel opgeschoten :(
Amnesty gaat dus in zee met mensen die..."
Het 'vermoedelijk' en 'dus' strookt niet met elkaar. Je tracht hier een aanname te presenteren als feit. Doe dat 'es niet, staat zo debiel.
Wat is de relevantie, die ondersteuning kan altijd later nog worden geboden. Moeten gebruikers die niet Win8.1 64bit gebruiken langer wachten op de tool, vanwege deze ondersteuning ? Welk nut heeft het op de release daarvoor uit te gaan stellen ? Ik snap je punt niet geheel.
Ja, dat kan zeker. Ik heb in mijn malware lab ook dagelijks nieuwe samples, die nog niet worden gedetecteerd door virusscanners. Dat wil niet zeggen dat je geen detectie kan maken voor die samples op basis van bijvoorbeeld files, registry keys en mutexes die kenmerkend zijn voor die samples.
Grappig hoe mensen hier met modder smijten. Iedereen die Claudio persoonlijk kent, weet dat deze suggestieve opmerking kan nog wal raakt.
1. toegang heeft tot nog niet bekend gemaakte zwakheden
2. invloed kan (proberen) uit (te) oefenen op AV bedrijven
Is het niet uitgesloten, dat de "governmentware" normaal niet gemeld wordt.
Lol, ik kan je (als medewerker van een AV bedrijf) toch wel met zekerheid vertellen dat de overheid informatie over dergelijke malware zeer zeker niet verstrekt. Denk jij dat als ik naar de politie of AIVD stap met het verzoek om mij alle indicatoren te verschaffen t.b.v. whitelisting, zij deze inforrmatie aan mij gaan verstrekken ? Ik denk het toch niet ;)
Amnesty is een zeg maar linkse club, en die staat per definitie argwanend tegenover de overheid, en door een nep programma aan te bieden, kan je de overheid van iets beschuldigen, zonder het te hoeven waarmaken.
De tool wordt niet gemaakt door Amnesty, maar door professionals. Je opmerking raakt kant nog wal. Verder hebben de activiteiten van Amnesty erg weinig van doen met de vraag of je links of rechts bent. Of denk je dat alleen linkse mensen waarde hechten aan mensenrechten, en bezwaar hebben tegen het opsluiten, martelen, of doen verdwijnen van politieke tegenstanders door repressieve regimes ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
