Detekt – инструмент против правительственной слежки

Доброго времени суток, читатели! Сегодня я хочу рассказать вам об одной интересной новинке в сфере безопасности и приватности. И имя этой новинки – Detekt.

Вот уже на протяжении недели в узких (и не очень), интернет-кругах идут дискуссии и пишутся обзоры этого ПО. Давайте и мы с вами разберемся, что же это за зверь такой.

Detekt – бесплатный инструмент с открытым исходным кодом (лицензия GPLv3), сканирующий компьютеры под управлением ОС семейства Windows на наличие следов разного рода шпионского ПО. В первую очередь он нацелен на поиск шпионских программ, разработанных такими организациями, как FinFisher и Hacking Team, а также на поиск следов прочих инструментов шпионажа из семейства RAT (подробнее про RAT).

Claudio Guarnieri, главный разработчик Detekt, выпустил в свет этот инструмент в партнерстве с такими известными организациями, выступающими за свободу слова, защищающими права человека и неприкосновенность частной жизни, как Amnesty International, Digitale Gesellschaft, Privacy International и Electronic Frontier Foundation (EFF).

Целевая аудитория данного ПО – это, в первую очередь, журналисты, правозащитники, разного рода активисты, информаторы и т.д.  Именно эта категория граждан, по многочисленным фактам и свидетельствам, находится в зоне риска правительственного шпионажа.

В свете различных откровений и разоблачений Сноудена, материалов WikiLeaks и т.д., а также в век глобальной информационной войны, появление на свет инструмента Detekt можно считать как никогда актуальным.

Катализатором для его разработки также можно считать факт существования таких организаций, как вышеупомянутая FinFisher – это немецкая компания (является, если я не ошибаюсь, частью Gamma International, базирующейся в Великобритании), разрабатывающая уникальные инструменты для кибершпионажа. Но выпускают подобные компании свои разработки не на черный рынок (для 'хакеров'), а продают за немалые деньги непосредственно правительственным организациям разных стран. И это ни для кого не секрет.

Также всем известно, что правительства и полицейские организации 'козыряют' тем, что безопасность граждан превыше всего и поэтому использование подобных шпионских продуктов является необходимостью. С этим, в принципе, сложно поспорить. Но одновременно сложно спорить и с тем, что зачастую под предлогом борьбы со 'злом' идет борьба с инакомыслием и свободой слова. 'Безопасность против Прав человека' - так написано в статье на сайте Amnesty International, посвященной выходу Detekt. Название у статьи, кстати, очень удачное и точно отражающее суть всего вышесказанного и происходящего: "Игра в 'кошки-мышки' с Большим Братом" (название привел не полное). Почитайте обязательно.

Ближе к делу. На текущий момент Detekt способен детектировать (простите за тавтологию) следы следующих вредоносных программ: DarkComet RAT, XtremeRAT, BlackShades RAT, njRAT, FinFisher FinSpy, HackingTeam RCS, ShadowTech RAT, Gh0st RAT.

Всё это шпионские инструменты, с помощью которых зараженный компьютер становится полностью подконтрольным владельцам этих инструментов. В арсенале подобных программ имеется огромный функционал, начиная от сбора паролей, снятия скриншотов экрана, копирования файлов с жесткого диска на свои сервера/компьютеры, заканчивая прямой слежкой в онлайн-режиме через веб-камеру и прослушкой через микрофон, ну, и т.д. Иными словами оператор этих программных инструментов может удаленно (т.е. через интернет) зайти на скомпрометированный компьютер и делать на нем все что угодно, будто он в действительности сидит перед этим компьютером.

Вот, к примеру, список того, что умеет делать FinFisher (взято с Хабра, очень интересная статья, кстати):

  • Сокрытие от 40 самых популярных антивирусных систем
  • Скрытая связь с контролирующим сервером
  • Полный мониторинг Skype (звонки, чаты, переданные файлы, видео, список контактов)
  • Сохранение сообщений основных средств общения (email, чаты, VoIP)
  • Онлайн трансляция при наличии веб-камеры и микрофона
  • Слежение за геоположением
  • Исследование локальных файлов
  • Кейлоггинг (фиксация нажатий на клавиши клавиатуры, в основном для сбора паролей)
  • Открытие удаленного доступа к системе
  • Сложные фильтры для сбора необходимой информации
  • Поддержка самых распространенных ОС (Windows, Mac OSX и Linux)

Обратите внимание на последний пункт. Миф о 'неуязвимости' Linux и MacOS на самом деле не что иное, как миф, и при определенных обстоятельствах эти ОС тоже могут быть скомпрометированы. Да, вирусов, в привычном понимании, для Linux действительно единицы, но доля вирусов и под Windows неумолимо падает. Привычные вирусы уже не интересны их создателям, они не актуальны. А вот более сложные и более универсальные и совершенные в техническом плане вредоносные программы, особенно использующие уязвимости 0-day (уязвимости нулевого дня, т.е. те дыры и бреши, которые удалось обнаружить злоумышленникам, но о которых больше не знает никто, включая разработчиков этих уязвимых приложений или ОС), существуют и активно эксплуатируются на любых операционках.

Несмотря на то, что Detekt способен обнаруживать указанное выше шпионское ПО, он не может гарантировать абсолютную защиту от него же. Это связано, прежде всего, с тем, что компьютер сканируется только на наличие известных ему вредоносов, а эти самые вредоносы могут быть модифицированы для обхода обнаружения. Также нельзя забывать о наличии секретных шпионских инструментов, которые могут быть еще неизвестны ни специалистам по информационной безопасности, ни, тем более, широкой общественности.

Следует также отметить, что Detekt ни в коем случае не является привычным антивирусом, и он ни в коем разе не может использоваться в качестве замены штатного антивирусного решения.

Тем не менее, именно Detekt в некоторых случаях позволяет обнаружить то, что казалось бы, должны обнаруживать штатные решения от ведущих антивирусных вендоров:

A week after Detekt

В одной зарубежной статье я также видел пример обнаружения Detekt`ом таких вредоносов, как njRat и XtremeRAT, в то время как зараженный компьютер под управлением Windows 7 был оснащен штатным антивирусом McAfee и дополнительными антивирусными инструментами - SUPERAntiSpyware и (столь мною любимым) Malwarebytes. Такие дела.

Короче говоря, Detekt однозначно заслуживает внимания не только всяческих информаторов, журналистов, активистов и правозащитников, но и нашего с вами внимания - внимания простых пользователей ПК и интернета. Так что, давайте знакомиться с ним ближе.

Официальный сайт: https://resistsurveillance.org/.

Скачать Detekt можно с официальной страницы проекта на GitHub - https://github.com/botherder/detekt/releases

detekt_download

Скачиваем файл detekt.exe, сохраняем в удобное место. Программа не требует установки, поэтому для ее запуска достаточно просто запустить exe-файл.

Перед запуском крайне настоятельно рекомендуется отключить компьютер от интернета (например, извлечь сетевой кабель или отключить питание модема/роутера). Также стоит закрыть такие приложения, как Skype, различные мессенджеры, браузеры и т.п.

В Windows 7 запускать сканер следует от имени администратора:

Запуск Detekt от имени администратора

В старушке XP администраторские права не требуются. А вот изначально заявленная работа в Windows 8 и 8.1 пока что (на момент публикации этой статьи) не поддерживается. Даже в режиме совместимости. Так что, если у вас восьмерка – ждите соответствующего релиза Detekt.

Стартовое окно выглядит следующим образом:

detekt_start_window

Здесь всего две опции: выбор языка (оставляем English) и, собственно, старт сканирования – Start now! – жмем и ожидаем окончания процедуры. Она длится не долго.

detekt_scanning

Если Detekt ничего не обнаружил, то появится окно с соответствующей информацией:

detekt_clean

Здесь пишется, что ничего не найдено. А также напоминается о том, что Detekt не является антивирусом, что крайне желательно всегда использовать штатное антивирусное средство и т.п. Помимо данного уведомления, в директории, куда вы сохранили файл detekt.exe, появится файл detekt.log. Это отчет о сканировании. Можете с ним ознакомиться.

Вот, собственно, и вся работа данного инструмента.

Если же вам повезло меньше и Detekt что-то обнаружит, то вы будете лицезреть примерно такое уведомление:

detekt_warning

Изображение с сайта https://resistsurveillance.org/

Здесь указывается, что именно удалось обнаружить, какие действия стоит предпринять, и какие действия категорически противопоказаны:

  1. Выключите компьютер.
  2. Ни в коем случае не соединяйтесь с Интернетом.
  3. Займитесь лечением или обратитесь к специалистам.

Важно понимать, что сам Detekt не лечит и не удаляет обнаруженное им вредоносное ПО. Так что следует прибегнуть к сторонним антивирусным продуктам. Также очевидно, что антивирус, который был установлен на зараженном компьютере, для лечения совершенно не годится. Нужно будет использовать продукты других производителей. В частности, вероятней всего, понадобятся специальные средства вроде AVZ (но не факт, что и они окажутся действенными).

Крайний случай (а может быть так даже и лучше) – это полное "обнуление" зараженного ПК. То есть, это не простая переустановка ОС, а более обширные действия, такие как, например, сброс и перепрошивка BIOS (помним о возможных биоскитах), очистка MBR/GPT и т.п.  (да-да вредоносные объекты могут "обитать" не только в операционной системе, но и далеко за ее пределами).

Короче говоря, вам, скорее всего, потребуется специалист, чтобы полостью вылечить зараженный компьютер. Кстати, на сайте проекта Detekt указаны адреса электронной почты экспертов, к которым можно попробовать обратиться за помощью:

Контакты экспертов, рекомендуемые проектом Detekt

В заключение хотелось бы отметить один случай – за первую неделю после релиза Detekt, специалистам по ИБ уже удалось выявить с его помощью модификацию FinFinisher, замаскированную под менеджер закладок. Вот здесь можете почитать об этом: http://www.securitylab.ru/news/462372.php

Кстати, SecurityLab – единственный ресурс в рунете, где я вижу освещение Detekt. Остальные порталы и издания почему-то не уделяют внимания этому инструменту (или я просто упустил это из виду). В мировом же интернете про Detekt пишут многие издания, в числе которых The Guardian, TechCrunch и проч.

Вот такой вот своеобразный продукт вышел на арену борьбы с вредоносами и шпионскими программами. Пользоваться им или нет – зависит от вашего рода деятельности и степени параноидальности =) Хотя с другой стороны, почему бы и не перепровериться? (помните про статью, на которую я давал ссылку в самом начале этого обзора, про RAT которая)

P.S.: Detekt на данный момент не способен обнаруживать нашумевший Regin, о котором сейчас так много говорят =)

P.P.S.: Есть еще одна интересная новость, особенно для владельцев сайтов. Примерно с неделю назад, упоминаемая в статье Electronic Frontier Foundation (EFF) в партнерстве с такими гигантами IT-индустрии, как Mozilla, Cisco и др. анонсировали очень интересный проект - Let’s Encrypt.

Let’s Encrypt

С его помощью веб-мастера могут за считанные минуты получить SSL-сертификат для сайта(ов) абсолютно бесплатно. Отличительной особенностью данного проекта (от того же StartSSL, например) является простота всей процедуры – генерация, подпись сертификата и т.д. происходит при помощи специальной утилиты буквально в пару кликов.

Полноценный запуск проекта намечен на лето 2015 года. Превью-версия для разработчиков доступна уже сейчас на ГитХабе.

Все это очень радует. Радует и EFF, и другие компании и некоммерческие организации, продвигающие в массы довольно интересные решения для того, чтобы люди чувствовали себя более безопасно в сети. Одно удручает – все эти конторы, в основном, из США. Я думаю, вы понимаете, о чем это говорит.

На этом у меня все. До связи на просторах сети!

32 Комментариев Detekt – инструмент против правительственной слежки

  1. Александр Викторович

    Актуальная и полезная информация. Конечно защита превыше всего. Думаю на всякий случай попробовать программу и проверить свой комп, лишним не будет.
    Как я понял русский язык не применяется?
    Недавно у меня была несанкционированная попытка подключения к компу через блютуз, он меня предупредил. После этого я убрал блютуз из автозапуска и скайп тоже.

    1. Александр Майер

      Да там и переводить-то, по большому счету, не чего. Все предельно понятно.
      Bluetooth всегда следует отключать, если он не используется.

  2. Webliberty

    Жаль что Windows 8.1 не поддерживается, хотелось проверить. Регулярно провожу онлайн-платежи через интернет-банкинг и хочется быть уверенным в безопасности. Антивирус стоит лицензионный. Стараюсь никуда особо не ползать по подозрительным сайтам.

    Про Let’s Encrypt на днях где-то слышал мельком. SSL конечно хорошо, вроде бы и не против подключить, но как представлю что опять придется редиректы настраивать, переиндексацию ждать... Поисковикам по идее нужно как-то быстрее адаптироваться по современные реалии и быстрее реагировать на изменения на сайтах, чтобы не ждать месяцами.

    1. Александр Майер

      Я думаю разрабы быстро выкатят релиз, поддерживающий Win 8. С восьмеркой вообще интересно работает: если запустить в режиме совместимости, то Detekt запускается, можно начать сканирование и.... сканирование переходит в бесконечный режим.

      Насчет безопасности онлайн-платежей - в качестве доп.защиты можно (да и нужно) использовать т.н. песочницу ("безопасные платежи") - есть во многих антивирусах класса Total Security.

      Let’s Encrypt хорош, прежде всего, владельцам ВПС/ВДС, для шаред хостинга проект бессмыслен. Вряд ли кто-то из шаред-хостеров будет устанавливать клиентам посторонний бесплатный сертификат. Хотя, кто его знает. Что касается поисковиков, слышал же, что Гугл будет повышать в выдаче https-сайты? Так что, это еще один плюс в шифровании. А правильные редиректы для https вроде автоматически умеет прописывать тот же iThemes Security.

      1. Webliberty

        Да у меня KIS, там есть безопасные платежи.

        Редиректы прописать не проблема, проблемой может обернуться переиндексация, в особенности в Яндексе. Мне уже приходилось делать редиректы со всех страниц, на полный перенос ушло около месяца.

        1. Александр Майер

          Ага, я помню у тебя же вроде и читал истории про переиндексацию и редиректы.

  3. Илья

    Честно говоря, для большинства людей здесь нет никакой угрозы, т.к. если правительство вами серьёзно заинтересуется, вас никакая программа не спасёт. Вас будут пасти у дома, на работе, в квартире и так далее.

    Если это будет использоваться в массах, антивирусные компании не будут закрывать на это глаза.

    1. Александр Майер

      Ну как знать. Речь ведь идет не исключительно о правительственной слежке. Есть еще и всякие злоумышленники, активно использующие RAT-средства. И, как говорят факты, антивирусные компании как раз-таки закрывают глаза на некоторые вещи.

  4. Александр+Викторович

    Проверил свой комп этой программой, все нормально. Получил зеленый ответ. Попробовал Яндексом перевести для интереса, но он не хочет переводиться. После такой проверки как то спокойней себя чувствуешь. А то вдруг кто то сидит в засаде.

      1. Александр Викторович

        Антивирус само собой. Давно пользуюсь бесплатным Майкрософт Секурити, по отзывам он достаточно эффективен. А в помощь ему Мальваре сканер.

        1. Александр Майер

          Все правильно, периодическим сканированием сторонним средством никогда не стоит пренебрегать. Каким бы навороченным не был штатный антивирус =)

  5. Аркаша

    Здравствуйте, отличная статья, частично открывающая ту, не столь радужную, сторону интернета. Подскажите, под Linux что-нибудь подобное существует? А то миф о том, что на Linux вирусов нет и быть не может, успокаивает, но все ж тревожно ))). И потом, после того как Spy hunter и SUPERAntiSpyware при лицензионном Касперском кое-что нашли на винде, охота проверить Linux, может и здесь, что найдется.

    1. Александр Майер

      Вечер добрый! Нет, таких вот специализированных утилит под Linux я лично не встречал. Есть только решения "общего назначения" от известных антивирусных вендоров. Ну, а так, в Linux, в принципе, правила безопасности не сильно отличаются от виндузятных - не ставить софт с левых реп, не копировать действия и команды по установке чего-либо из первых попавшихся мануалов в интернете, регулярно обновлять систему и установленное ПО, не вводить root-пароль когда не следует и когда не знаешь, что именно ты собираешься сделать ну и т.д. Наверняка, вы это все и так знаете

  6. Сергей

    Привет.
    Слушай, по моему наблюдению чаще всего именно в такие вот подобные антишпионские программки и зашивают разного рода шпионские примочки - ведь именно пользователи данного ПО это основная ЦА для тех кто охотится за данными) И открытый код к сожалению тут не панацея, достаточно вспомнить тот же хартблид.

    1. Александр Майер

      Привет. Да, бытуют схожие мнения и скепсис по отношению именно к Detekt, но, имхо, все это напрасно.

      С Heartbleed ситуацию я бы не стал даже близко сравнивать. А вот opensourse в данном конкретном случае очень даже панацея - строк кода не так уж и много в исходниках. И думается мне, что мало мальски шарящий программист мог бы уже за это время обнаружить нечто недокументированное. Это же не сложнейшее криптографическое ПО, типа TrueCrypt, анализ кода которого идет до сих пор.

      Также немаловажную роль, все таки, играют организации, участвующие в данном проекте. Например, EFF часто поддерживает в различных кампаниях Firefox, а уж этому браузеру доверяют сотни миллионов; сотрудничает с разрабами расширения HTTPS Everywhere, и проч., и проч. Да и вообще у этой организации очень много заслуг в сфере защиты интернет-прав. Также как и у остальных организаций, участвующих в этом проекте.

      Даже больше скажу (и это мнение вовсе не без оснований) - опасней в этом плане доверять многим коммерческим антивирусным вендорам, чем подобным организациям =)

  7. Сергей

    Здравствуйте,Александр.У меня программа сканировала 30-40мин и окончания процесса не видно,остановил сканирование.На другом ноутбуке программа за 5мин просканировала и выдала результат.Не можете объяснить почему программу заклинило на одном ноутбуке? А вообще программа полезная.Спасибо.

    1. Александр Майер

      Сергей, добрый день.
      Операционка какая? Восьмерка? На Windows 8 пока не работает, переходит в бесконечный режим сканирования.

      1. Сергей

        Александр,всё ОК. Windows 7-64.Но всё решилось.Просканировал ноутбук Avast,dr.Web Cureit, сделал проверку тома.Потом сканировоние Detekt прошло нормально.В чём была причина не знаю.Спасибо тебе за участие.

        1. Александр Майер

          Вообще в 7-ке должно работать без сбоев. Интересно было бы все-таки узнать, в чем была проблема. А интернет отключали, как советуется?

          1. Сергей

            Да,Александр.И запуск от имени администратора,и отключение от интернета,в противном случае программа напоминает,что надо сделать то или это.Моих знаний не хватает объяснить это явление.Основная мысль в голове-был какой-то косяк в ноутбуке.Да,ещё был сиклинер в перечне моих действий.

          2. Александр Майер

            Ну, тогда это останется загадкой =) Видимо сначала что-то Детекту "не понравилось"

  8. Наталья Погорелова

    А-а-а!!! почитала статью и даже как-то страшно и мерзко стало((( Мой-то сайт не несет никакой политической нагрузки и всегда открыт для пользователей, интересующихся его спецификой. А вот личные контакты и переписки – не очень хотелось бы, чтобы эта информация стала доступной кому-то еще кроме меня.

    1. Александр Майер

      К великому сожалению, личная информация уже давно перестала быть личной. И доступна "кому-то еще". Большой брат следит за всеми =)

  9. Василий

    Александр, привет! Со второго раза удалось проверить компьютер. Первый раз ждал окончания процесса минут 40, потом надоело. А сейчас проверка закончилась за несколько минут. У меня Windows 7.

    1. Александр Майер

      Приветствую, Василий!
      Да, оказывается иногда Detekt уходит в "бесконечный режим" сканирования даже на Windows 7. Видимо баг какой-то. Надеюсь исправят.
      Если есть желание и возможность, можешь сам написать об этом разработчику (https://twitter.com/botherder). Я позже тоже напишу. Я написал письмо Claudio, посмотрим, что ответят.

        1. Александр Майер

          Я написал как смог, не без помощи гуглопереводчика конечно =)
          Главное - дать знать, что баг существует. А уж ответит он мне или нет - это второстепенно. Так что, моя и ваша совесть, как тестеров, чиста =))

  10. Александр Рус

    Защитой сильно не занимаюсь, но пары бы уже задумаваться над этим. Из антивирусников стоит пока Avast, раньше ни чем не пользовался долго.
    Я так понял из рассуждений на винду 8 прога не пойдет?

    1. Александр Майер

      Да, Саш, на восьмерке пока не работает.
      P.S. А защитой лучше все-таки не пренебрегать. Но и не параноить, как я, например =)

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *