Kontrowersyjne nowe narzędzie do wykrywania rządowych trojanów

dodał 22 listopada 2014 o 21:21 w kategorii Złośniki  z tagami:
Kontrowersyjne nowe narzędzie do wykrywania rządowych trojanów

Jeden z badaczy specjalizujących się w wykrywaniu i analizowaniu złośliwego oprogramowania stosowanego przez rządy wielu krajów opublikował narzędzie, które ma pomóc w identyfikacji potencjalnych infekcji. Narzędzie ma jednak pewne wady.

Claudio Guarnieri, znany lepiej pod swoim pseudonimem botherder, oprócz stworzenia Cuckoo Sandbox i działania w organizacji Shadowserver oraz Honeynet Project od wielu lat bada problemy rządowej inwigilacji. Stworzył on i dwa dni temu upublicznił narzędzie Detekt, którego zadaniem jest wykrywanie wielu rodzajów złośliwego oprogramowania stosowanego przez rządy do inwigilacji obywateli. Specjaliści z branży chwalą go za pomysł, jednak mocno krytykują wykonanie.

Detekt – lepszy czy gorszy od antywirusa?

Według opisu autora Detekt to narzędzie napisane w Pythonie, które korzysta z Yara, Volatility oraz Winpmem by wykryć w pamięci operacyjnej badanego systemu obecność kilku rodzajów złośliwego oprogramowania, z którego korzystają rządy. Kryteria wykrycia infekcji oparte są o dużą bazę wcześniej zidentyfikowanego i przeanalizowanego oprogramowania – autor zajmuje się tym tematem od wielu lat, zatem jego baza sygnatur powinna być spora. Czy jednak Detekt oferuje coś więcej niż zwykły antywirus?

Zwolennicy narzędzia sugerują, że jest co najmniej kilka powodów, dla których warto korzystać z Detekta. Przede wszystkim nie można zaufać producentom programów antywirusowych, ponieważ tylko kilku z nich (np. F-Secure) jasno zadeklarowało, że wykryje każde złośliwe oprogramowanie, które zna, bez względu na to, czy będzie to program rządowy czy nie. Istnieje podejrzenie, że amerykańskie firmy antywirusowe mogą na zlecenie rządu opóźniać wdrożenie konkretnych sygnatur lub po prostu ukrywać działanie określonego złośliwego oprogramowania. Detekt, stworzony przez aktywistę i wspierany przez takie organizacje jak Amnesty International, Privacy International czy Electronic Frontier Foundation (do tego o otwartym źródle) gwarantuje, że nie będzie niczego przed użytkownikiem ukrywał. To ważny argument.

Wynik działania programu

Wynik działania programu

Drugim istotnym elementem większej wartości Detekta jest dedykowany charakter. W jego przypadku autor może pozwolić sobie na większe ryzyko wykrycia nieistniejącego zagrożenia (false positive), ponieważ w stanie zagrożenia inwigilacją (i potencjalnymi jej skutkami jak np. utrata wolności) lepiej wykryć o jednego wirusa za dużo niż za mało. Na ten komfort nie mogą pozwolić sobie autorzy standardowego oprogramowania antywirusowego, które musi działać maksymalnie poprawnie. Można się zatem spodziewać, że Detekt będzie nieco bardziej czuły w wykrywaniu zagrożeń.

Trzecią cechą Detekta jest jego prostota i możliwość potwierdzenia faktycznej infekcji. Organizacje wspierające aktywistów otrzymują wiele zgłoszeń o potencjalnej inwigilacji i mają problemy z ich weryfikacją. Detekt umożliwia potwierdzenie przynajmniej części infekcji, dzięki czemu można skuteczniej pomóc osobom, których komputery są zarażone.

Poważne ograniczenia aplikacji

Niestety Detekt ma również wiele ograniczeń. Przede wszystkim potrafi wykrywać jedynie starsze wersje złośliwego oprogramowania. Można się spodziewać, że autorzy koni trojańskich natychmiast poprawią swój kod, by uniknąć wykrycia i dodadzą Detekt do listy oprogramowania, z którym będą testowali swoje produkty. Nie jest to niestety jedyny problem Detekta. Inny badacz opublikował na Twitterze 7 sposobów uniknięcia wykrycia przez to narzędzie:

  • nazwanie swojego procesu nazwą umieszczoną na białej liście Detekta
  • użycie jakiegokolwiek innego złośliwego oprogramowania oprócz tego wykrywanego przez Detekta
  • wstrzyknięcie złośliwego kodu do procesu Detekta, który nie kontroluje sam siebie
  • wstrzyknięcie do pamięci procesu systemowego, do którego Detekt nie ma dostępu
  • atakowanie Windows 8.1 w wersji 64bit (jeszcze do dzisiaj Detekt nie działał na tej platformie) lub Windows Server 2012+
  • ukrywanie procesu przez kombinowanie z Processor Control Region
  • wyłączenie procesu w momencie wykrycia uruchomienia Detekta i ponowne uruchomienie po zakończeniu jego pracy

Autor uwag do programu trafnie podsumował sytuację:

Jak więc widać program, oprócz istotnych zalet, posiada także spore wady. Do tego jeszcze autor właśnie opublikował kolejną wersję, która co prawda dodaje obsługę Windows 8.1 w wersji 64bit, ale z jej opisu zniknęła możliwość wykrywania 6 koni trojańskich typu RAT (remote access trojan) a pozostały tylko dwa najbardziej znane narzędzia sprzedawane rządom całego świata, czyli FinSpy (FinFisher) oraz RCS (HackingTeam).

Czy Detekt ma sens? Autor mówi, ze lepiej zrobić coś chociaż częściowo pożytecznego, niż nie robić nic. Trudno się z tą argumentacją nie zgodzić, jednak zdecydowanie nie polecamy polegania wyłącznie na tym narzędziu.

Aktualizacja 2014-11-23 16:15
Ciekawa nowa wiadomość – Claudio właśnie ogłosił, że Detekt wykrył nową wersję programu RCS, którego na razie nie rozpoznaje żaden program antywirusowy. Może to oznaczać, że jego narzędzie faktycznie działa i ma sens.