image

KnockKnock zoekt samen met Google naar Mac-malware

dinsdag 28 april 2015, 11:32 door Redactie, 1 reacties

Een programma voor Mac OS X dat laat zien welke programma's en scripts er automatisch worden gestart is nu ook in staat om snel malware via VirusTotal op te sporen, de online anti-virusdienst van Google. KnockKnock voor OS X is vergelijkbaar met Microsofts Autoruns voor Windows en geeft een zeer gedetailleerd overzicht van wat er allemaal op het besturingssysteem plaatsvindt.

VirusTotal is een website waar gebruikers bestanden kunnen uploaden, om die vervolgens door zo'n 50 verschillende virusscanners te laten scannen. Begin dit jaar besloot Microsoft VirusTotal met Autoruns te integreren, waardoor Windowsgebruikers nu eenvoudig malware kunnen detecteren. Patrick Wardle, ontwikkelaar van KnockKnock, heeft dat voorbeeld nu gevolgd en VirusTotal aan zijn applicatie toegevoegd.

"Deze tool is zeer handig bij het snel zoeken naar malware op Mac OS X-systemen, en de integratie met VirusTotal geeft verder momentum aan al onze inspanningen om Mac OS X-gebruikers te beschermen", zegt Emiliano Martinez van VirusTotal, dat sinds 2012 onderdeel van Google is. Vorig jaar besloot VirusTotal al de analyse van OS X- en iOS-malware te verbeteren, alsmede de bijbehorende uploadtool.

Image

Reacties (1)
28-04-2015, 18:51 door Anoniem
KnockKnock who's there? ("Google" !)

Allereerst, het werkelijke nieuws is volgens mij dat KnockKnock nu eindelijk in app vorm is verschenen.
Eerder was het alleen als python script uit te voeren.

De app is geschikt voor OS X 10.8 en hoger.
Een licht opmerkelijke keuze die misschien te maken heeft met het gebruiken van de laatste Xcode versie? Wie het weet mag het zeggen.

'Snel security geleerd'
De download die eerder werd aangeboden betrof alleen een zip bestand.
Inmiddels staat er een SHA hash bij.
Dat die er eerder niet bij stond deed enige verbazing opwekken.
Nu kan je de download tenminste controleren, dat behoort immers tot de basic's waar je nog helemaal geen AV producten voor nodig hebt.

KnockKnock Privacy? Give it 'Total' away! (?)

Als ik mij niet vergis geef je met het uploaden van bestanden je interne directory structuur weg.
Dat interesseert de meeste mensen die het liefst alles willen delen helemaal niets.
Voor degenen die het wel interesseert, sta erbij stil, let erop.
kijk eens naar hoe dat upload proces verloopt bij KnockKnock
Worden de resultaten eerst naar een tussen directory gekopieerd of worden die bestanden direct vanuit de directory waar zij gevonden zijn geüpload naar Google?
Eén upload directory zou je nog een beetje kunnen privacy-managen, met het direct uploaden vanaf elk denkbare bestandslocatie wordt dat een ander verhaal.

Daarbij moet worden aangetekend dat de persistente malware zeer waarschijnlijk nestelt in root, systeem en local library directories en niet in allerlei persoonlijke mappen onder je user account waarvan je dan de bestandslocatie aan TotalGoogle zou geven.

Zodra er malware onder een user account gevonden zou worden geef je bij de upload naast je anonieme ip adres immers dan ook je (meestal niet anonieme) accountnaam weg door middel van het directory pad.

Dat er zo uit kan zien
Macintosh HD//Users/JanmetdePetNooitmeeranoniem?/Library/LaunchAgents/malwarelaunchitem

Het blijft toch een privacy dingetje dat uploaden.
De meeste mensen zullen bij een standaard upload naar virustotal in ieder geval hun identiteit (volle naam) weggeven in combinatie met hun (vaste) ip adres.
Dat je het weet.

Denk ook aan het Bing dingetje als je zoekt op je Mac (resultaten worden gedeeld met Bing onder Yosemite).
Disable onder spotlight voorkeuren “Spotlight Suggestions” , “Bing Web Searches” en disable “Include Spotlight Suggestions” ook onder je Safari voorkeuren.

Verder kan je sinds jaar en dag onder OS X via een voorkeur met Google zoeken op je eigen Mac systeem. Zou ik binnen dit privacy kader eveneens streng afraden om dat te doen.

Interessant project dat KnockKnock
Zie de malware 'dreiging' wel binnen het behoorlijk gebrek aan malware perspectief.

In de woorden van/op securityspread
http://securityspread.com/2015/04/24/knock-knock-again/
Knock Knock is not an all-in-one security solution, such solutions do not exist. As mentioned before, the best security comes in layers and Knock Knock is certainly one of many layers worth having.

Al dan niet door dit direct te uploaden naar Gôôgle.
Een resultaat kan je ook gewoon Googelen ;P
ehh DuckDuckGo'en, Startpagen, IxQuicken,..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.