KnockKnock zoekt samen met Google naar Mac-malware
Een programma voor Mac OS X dat laat zien welke programma's en scripts er automatisch worden gestart is nu ook in staat om snel malware via VirusTotal op te sporen, de online anti-virusdienst van Google. KnockKnock voor OS X is vergelijkbaar met Microsofts Autoruns voor Windows en geeft een zeer gedetailleerd overzicht van wat er allemaal op het besturingssysteem plaatsvindt.
VirusTotal is een website waar gebruikers bestanden kunnen uploaden, om die vervolgens door zo'n 50 verschillende virusscanners te laten scannen. Begin dit jaar besloot Microsoft VirusTotal met Autoruns te integreren, waardoor Windowsgebruikers nu eenvoudig malware kunnen detecteren. Patrick Wardle, ontwikkelaar van KnockKnock, heeft dat voorbeeld nu gevolgd en VirusTotal aan zijn applicatie toegevoegd.
"Deze tool is zeer handig bij het snel zoeken naar malware op Mac OS X-systemen, en de integratie met VirusTotal geeft verder momentum aan al onze inspanningen om Mac OS X-gebruikers te beschermen", zegt Emiliano Martinez van VirusTotal, dat sinds 2012 onderdeel van Google is. Vorig jaar besloot VirusTotal al de analyse van OS X- en iOS-malware te verbeteren, alsmede de bijbehorende uploadtool.
Allereerst, het werkelijke nieuws is volgens mij dat KnockKnock nu eindelijk in app vorm is verschenen.
Eerder was het alleen als python script uit te voeren.
De app is geschikt voor OS X 10.8 en hoger.
Een licht opmerkelijke keuze die misschien te maken heeft met het gebruiken van de laatste Xcode versie? Wie het weet mag het zeggen.
'Snel security geleerd'
De download die eerder werd aangeboden betrof alleen een zip bestand.
Inmiddels staat er een SHA hash bij.
Dat die er eerder niet bij stond deed enige verbazing opwekken.
Nu kan je de download tenminste controleren, dat behoort immers tot de basic's waar je nog helemaal geen AV producten voor nodig hebt.
KnockKnock Privacy? Give it 'Total' away! (?)
Als ik mij niet vergis geef je met het uploaden van bestanden je interne directory structuur weg.
Dat interesseert de meeste mensen die het liefst alles willen delen helemaal niets.
Voor degenen die het wel interesseert, sta erbij stil, let erop.
kijk eens naar hoe dat upload proces verloopt bij KnockKnock
Worden de resultaten eerst naar een tussen directory gekopieerd of worden die bestanden direct vanuit de directory waar zij gevonden zijn geüpload naar Google?
Eén upload directory zou je nog een beetje kunnen privacy-managen, met het direct uploaden vanaf elk denkbare bestandslocatie wordt dat een ander verhaal.
Daarbij moet worden aangetekend dat de persistente malware zeer waarschijnlijk nestelt in root, systeem en local library directories en niet in allerlei persoonlijke mappen onder je user account waarvan je dan de bestandslocatie aan TotalGoogle zou geven.
Zodra er malware onder een user account gevonden zou worden geef je bij de upload naast je anonieme ip adres immers dan ook je (meestal niet anonieme) accountnaam weg door middel van het directory pad.
Dat er zo uit kan zien
Het blijft toch een privacy dingetje dat uploaden.
De meeste mensen zullen bij een standaard upload naar virustotal in ieder geval hun identiteit (volle naam) weggeven in combinatie met hun (vaste) ip adres.
Dat je het weet.
Denk ook aan het Bing dingetje als je zoekt op je Mac (resultaten worden gedeeld met Bing onder Yosemite).
Disable onder spotlight voorkeuren “Spotlight Suggestions” , “Bing Web Searches” en disable “Include Spotlight Suggestions” ook onder je Safari voorkeuren.
Verder kan je sinds jaar en dag onder OS X via een voorkeur met Google zoeken op je eigen Mac systeem. Zou ik binnen dit privacy kader eveneens streng afraden om dat te doen.
Interessant project dat KnockKnock
Zie de malware 'dreiging' wel binnen het behoorlijk gebrek aan malware perspectief.
In de woorden van/op securityspread
http://securityspread.com/2015/04/24/knock-knock-again/
Al dan niet door dit direct te uploaden naar Gôôgle.
Een resultaat kan je ook gewoon Googelen ;P
ehh DuckDuckGo'en, Startpagen, IxQuicken,..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
