image

Beveiligingsbedrijf lanceert gratis monitor-app voor macOS

zaterdag 1 april 2017, 07:02 door Redactie, 11 reacties

Het Amerikaanse beveiligingsbedrijf FireEye heeft een gratis app gelanceerd om macOS-systemen te monitoren. Monitor, zoals de app heet, is ontwikkeld om allerlei activiteiten te monitoren, zoals het uitvoeren van processen, aanmaken en hernoemen van bestanden, netwerkactiviteit, dns-verzoeken en andere zaken. De informatie wordt vervolgens via een eenvoudige gebruikersinterface weergegeven.

De interface biedt een start- en stopknop, een filteroptie en een zoekbalk. Zo kan er bijvoorbeeld worden gezocht naar processen die met een bepaald domein hebben gecommuniceerd. Volgens de ontwikkelaars kan de tool handig zijn om te kijken hoe macOS of zelfs malware onder de motorkap werken, zonder eerst bijvoorbeeld een debugger te starten. Monitor wordt ondersteund op macOS El Capitan en Sierra. De app is te downloaden via de website van FireEye.

Image

Reacties (11)
01-04-2017, 07:37 door Anoniem
<gratis alert>
Al bekend wat er naar FireEye gaat?
</gratis>
01-04-2017, 08:21 door Anoniem
Zo'n app zit standaard in macOS genaamd console.
01-04-2017, 10:20 door Anoniem
Door Anoniem: <gratis alert>
Al bekend wat er naar FireEye gaat?
</gratis>
Als je Wireshark op je systeem zet, dan kom je er gauw genoeg achter.
01-04-2017, 10:40 door karma4
Door Anoniem: <gratis alert>
Al bekend wat er naar FireEye gaat?
</gratis>
Al bekend wat er naar Apple gaat?
01-04-2017, 15:37 door Anoniem
Als Hans Kees was, of een ander 'if' geval

Yep,
Ziet er handig uit.
Een soort combinatie van de functionaliteiten die MacOS zelf al biedt met o.a. Activity Monitor, Console App, Network monitor in combinatie met een firewall app en of Wireshark.
Echter, de doelgroep is klein, niet voor de gewone consument maar voor de malware analist.
Wat een en ander extra saillant maakt is natuurlijk dat die relatief kleine doelgroep het met vrijwel geen malware moet doen.

Ergo, net zoals de apps van die andere wrdle-jodocus, de functie is er maar de app lijkt er vooral te zijn voor het bedachte nut.
Een app met een hoog "if" gehalte.
Ik pleit dan ook voor een nieuw label bij Apple security apps, de
"if-App"
, voor het 'lab'-bedachte geval dat.

De praktijk leert echter dat dit soort apps, danwel vele andere consumentenversies dus nogal en veelal voornamelijk werkloos staan te zijn.
Waarbij nog een keer extra aangetekend kan worden, iets dat de vele -security-if-apps in hun ondergoed zet.
Verreweg de meeste 'security-if-apps' hebben de onpraktische gewoonte een heel smalle support basis te hebben, alleen voor het laatste of de twee of drie laatste OS versies.
Deze slaat zelfs voor het gemak een nog supported OS versie over.

Welke OS en zou je denken hebben het meeste baat bij extra security support?
Juist, oudere niet meer supported OS versies.
Maar daar zijn de heertjes te lui voor, want dan moet er extra moeite gedaan worden.

De extra omgekeerde grap is weer dat als er al malware ontwikkeld wordt door boefjes zij zich ook richten op de nieuwste OS versies.
Zo is er met een goede trefzekerheid te constateren dat hoe breder de malware is ten aanzien van de getargete OS versies hoe zekerder je kan zijn van het feit dat er een overheid achter zit.

En dan komen we toch weer bij een triest eindpunt uit.
De meest gevaarlijke, dus meest interessante malware om te onderzoeken voor Apple producten is dus overheidsmalware.
Malware die in haar aanval en 'support' veel breder is dan de apps dia haar moeten analyseren en bestrijden.

Wat doet die 'drieletterorganisatie-malware' op non-supported systeem x of y?
Dat weet je niet helemaal zeker want de app die je daarvoor zou willen gebruiken om het te analyseren werkt er niet op.

Niks fireEye; wateroogjes zal je bedoelen

'Snif'
(Virtueel dan, bij gebrek aan reële dreiging voor verreweg de grootste meerderheid van de Apple consumenten. Wat het lezen van security nieuws een heel comfortabele aangelegenheid maakt, leuk gratis appje, nuttig? ;)
01-04-2017, 16:25 door Anoniem
Door karma4:
Door Anoniem: <gratis alert>
Al bekend wat er naar FireEye gaat?
</gratis>
Al bekend wat er naar Apple gaat?
Het geblaat is weer van de lucht Stel: Je koopt een motormanagementconsole van het merk YZX voor je - voor mijn part - Hyundai (ik zuig maar even een merk uit mijn duim) sluit dat aan op de servicepoort en alle gegevens die er worden gedetecteerd worden naar Hyundai getransporteerd. Ja hoor helemaal ernstig om rekening mee te houden.
Opnieuw: Gut wat een gelul weer.
01-04-2017, 16:46 door Anoniem
Door Anoniem:
Door Anoniem: <gratis alert>
Al bekend wat er naar FireEye gaat?
</gratis>
Als je Wireshark op je systeem zet, dan kom je er gauw genoeg achter.

Gaat je niet lukken als het encrypted verkeer is.
01-04-2017, 16:52 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: <gratis alert>
Al bekend wat er naar FireEye gaat?
</gratis>
Al bekend wat er naar Apple gaat?
Het geblaat is weer van de lucht Stel: Je koopt een motormanagementconsole van het merk YZX voor je - voor mijn part - Hyundai (ik zuig maar even een merk uit mijn duim) sluit dat aan op de servicepoort en alle gegevens die er worden gedetecteerd worden naar Hyundai getransporteerd. Ja hoor helemaal ernstig om rekening mee te houden.
Opnieuw: Gut wat een gelul weer.

Geen gelul, alle data die naar fabrikant gaat zou optioneel moeten zijn.
01-04-2017, 18:17 door karma4 - Bijgewerkt: 01-04-2017, 18:17
Door Anoniem:
Opnieuw: Gut wat een gelul weer.
ik houd enkel de spiegel voor isheep gedrag vast.
Storend voor goede secùrity naast alle fanboisme.
01-04-2017, 18:21 door karma4
De naam Fireeye is verbonden met de bekende target hack.
Ze leveren de tools naar de professionele partijen waar logging monitoring via een soc met centraal beheer een vereiste is.
Standaard heeft een mac dat niet volgens mij. Dat betekebt andere extra tools er boven op zetten.

Een leuke opstap om het voor thuis gratis te maken. Dan is de kans groter dat het in het bedrijfsleven gepromoot wordt. Daar wordt ds verdienste gemaakt linksom of rechtsom.
01-04-2017, 20:24 door Anoniem
Door Anoniem:
Door Anoniem: <gratis alert>
Al bekend wat er naar FireEye gaat?
</gratis>
Als je Wireshark op je systeem zet, dan kom je er gauw genoeg achter.

je ziet mogelijk alleen dat er iets gaat, niet noodzakelijk wat.
dan zul je eerst de data format moeten weten, en mogelijk ook de encryptie weten/doorbreken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.