SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Wie man im täglichen Leben anonym bleibt. Diskussion und Erfahrungsaustausch.
Post Reply
bodman

SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Post by bodman » Thu Nov 20, 2014 12:00

"Werde ich überwacht? Diese Frage sollen Aktivisten und Journalisten nun beantworten können. Amnesty International hat eine Software vorgestellt, die besonders gut versteckte Trojaner erkennen soll."

http://www.sueddeutsche.de/digital/schu ... -1.2228929

Link zur Software (Windows only): https://resistsurveillance.org/

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Post by totentanz » Thu Nov 20, 2014 15:46

Die Seize geht wohl schon in die Knie. Hier der direkte Weg: https://github.com/botherder/detekt/releases/tag/v1.0

cane

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Post by cane » Thu Nov 20, 2014 16:03

Ein "Virescanner" speziell für trojaner federal?

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Post by totentanz » Thu Nov 20, 2014 16:56

Angepasst an Finspy und Konsorten, "normale" Virenscanner scheitern daran ja massenweise, mit Absicht oder auch nicht. Wird man sehen wie sich Detekt so macht.

Soll diese erkennen:
  • DarkComet RAT
    XtremeRAT
    BlackShades RAT
    njRAT
    FinFisher FinSpy
    HackingTeam RCS
    ShadowTech RAT

Win 8.1 64 bit wird nicht unterstützt.

PseudoNym
Posts: 48
Joined: Tue Oct 02, 2012 16:08

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Post by PseudoNym » Thu Nov 20, 2014 18:50

Hab mir gerade mal den Quelltext angeschaut. Anscheinend wird der Speicher des laufenden Systems nach bestimmten Suchmustern durchsucht, um eben diese "beliebten" Schnüffelprogramme zu finden.
Zwei Nachteile davon: Die Erkennung hängt sehr stark von den Mustern ab. Wenn die sich ändern, wird nichts mehr erkannt. Außerdem können die Programme wenn der Zugriff auf den Speicher überwacht wird entsprechend reagieren und sich temporär entladen, um so zu tun, als wäre das System sauber.
Vorteil des ganzen ist allerdings, dass nach keinen Spuren auf der Festplatte gesucht werden, die es ggf. gar nicht gibt, weil alles rein im Arbeitsspeicher abläuft.

Wenn jetzt natürlich die Software individuell zugeschnitten ist (und zwar mehr als nur ein paar kleine Änderungen), läuft der Check ins Leere und man wiegt sich in falscher Sicherheit.

Davon abgesehen würde ich allerdings eigentlich erwarten, dass Standard-AV-Software ebenfalls den Speicher nach ähnlichen Mustern durchsucht, aber das kann man natürlich i.d.R. nicht so ohne weiteres untersuchen.

cane

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Post by cane » Thu Nov 20, 2014 20:37

Wenn jetzt natürlich die Software individuell zugeschnitten ist (und zwar mehr als nur ein paar kleine Änderungen), läuft der Check ins Leere und man wiegt sich in falscher Sicherheit.
Jeder Virenscanner sagt nur: "Keine Viren gefunden, die ich finden könnte."

Kein Virenscanner kann wirklich glaubhaft versichern: "Keine Viren da!"

(Das ist ein häufiges Missverständis über Virenscanner.)

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Post by totentanz » Fri Nov 21, 2014 17:06

Und da die meisten Virenscanner per Standard signierten Content durchwinken (Infiltration wird damit zum Lachsack), ist es umso wichtiger ein spezialisiertes Programm einzusetzen. Die Kollaboration von Zertifikats CAs die Überwachungs-Spyware signieren ist auch offensichtlich geworden.

Jetzt auch mit Win 8.1 64 bit Unterstützung

Version 1.3

https://github.com/botherder/detekt/releases/tag/v1.3

Post Reply