Page 1 of 1

SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Posted: Thu Nov 20, 2014 12:00
by bodman
"Werde ich überwacht? Diese Frage sollen Aktivisten und Journalisten nun beantworten können. Amnesty International hat eine Software vorgestellt, die besonders gut versteckte Trojaner erkennen soll."

http://www.sueddeutsche.de/digital/schu ... -1.2228929

Link zur Software (Windows only): https://resistsurveillance.org/

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Posted: Thu Nov 20, 2014 15:46
by totentanz
Die Seize geht wohl schon in die Knie. Hier der direkte Weg: https://github.com/botherder/detekt/releases/tag/v1.0

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Posted: Thu Nov 20, 2014 16:03
by cane
Ein "Virescanner" speziell für trojaner federal?

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Posted: Thu Nov 20, 2014 16:56
by totentanz
Angepasst an Finspy und Konsorten, "normale" Virenscanner scheitern daran ja massenweise, mit Absicht oder auch nicht. Wird man sehen wie sich Detekt so macht.

Soll diese erkennen:
  • DarkComet RAT
    XtremeRAT
    BlackShades RAT
    njRAT
    FinFisher FinSpy
    HackingTeam RCS
    ShadowTech RAT

Win 8.1 64 bit wird nicht unterstützt.

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Posted: Thu Nov 20, 2014 18:50
by PseudoNym
Hab mir gerade mal den Quelltext angeschaut. Anscheinend wird der Speicher des laufenden Systems nach bestimmten Suchmustern durchsucht, um eben diese "beliebten" Schnüffelprogramme zu finden.
Zwei Nachteile davon: Die Erkennung hängt sehr stark von den Mustern ab. Wenn die sich ändern, wird nichts mehr erkannt. Außerdem können die Programme wenn der Zugriff auf den Speicher überwacht wird entsprechend reagieren und sich temporär entladen, um so zu tun, als wäre das System sauber.
Vorteil des ganzen ist allerdings, dass nach keinen Spuren auf der Festplatte gesucht werden, die es ggf. gar nicht gibt, weil alles rein im Arbeitsspeicher abläuft.

Wenn jetzt natürlich die Software individuell zugeschnitten ist (und zwar mehr als nur ein paar kleine Änderungen), läuft der Check ins Leere und man wiegt sich in falscher Sicherheit.

Davon abgesehen würde ich allerdings eigentlich erwarten, dass Standard-AV-Software ebenfalls den Speicher nach ähnlichen Mustern durchsucht, aber das kann man natürlich i.d.R. nicht so ohne weiteres untersuchen.

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Posted: Thu Nov 20, 2014 20:37
by cane
Wenn jetzt natürlich die Software individuell zugeschnitten ist (und zwar mehr als nur ein paar kleine Änderungen), läuft der Check ins Leere und man wiegt sich in falscher Sicherheit.
Jeder Virenscanner sagt nur: "Keine Viren gefunden, die ich finden könnte."

Kein Virenscanner kann wirklich glaubhaft versichern: "Keine Viren da!"

(Das ist ein häufiges Missverständis über Virenscanner.)

Re: SZ: "Amnesty warnt vor Späh-Software auf dem Rechner"

Posted: Fri Nov 21, 2014 17:06
by totentanz
Und da die meisten Virenscanner per Standard signierten Content durchwinken (Infiltration wird damit zum Lachsack), ist es umso wichtiger ein spezialisiertes Programm einzusetzen. Die Kollaboration von Zertifikats CAs die Überwachungs-Spyware signieren ist auch offensichtlich geworden.

Jetzt auch mit Win 8.1 64 bit Unterstützung

Version 1.3

https://github.com/botherder/detekt/releases/tag/v1.3