Detekt – инструмент против правительственной слежки!

Detekt – бесплатный инструмент с открытым исходным кодом (лицензия GPLv3), сканирующий компьютеры под управлением ОС семейства Windows на наличие следов разного рода шпионского ПО. В первую очередь он нацелен на поиск шпионских программ, разработанных такими организациями, как FinFisher и Hacking Team, а также на поиск следов прочих инструментов шпионажа из семейства RAT (подробнее про RAT).

Claudio Guarnieri, главный разработчик Detekt, выпустил в свет этот инструмент в партнерстве с такими известными организациями, выступающими за свободу слова, защищающими права человека и неприкосновенность частной жизни, как Amnesty International, Digitale Gesellschaft, Privacy International и Electronic Frontier Foundation (EFF).

Целевая аудитория данного ПО – это, в первую очередь, журналисты, правозащитники, разного рода активисты, информаторы и т.д. Именно эта категория граждан, по многочисленным фактам и свидетельствам, находится в зоне риска правительственного шпионажа.

В свете различных откровений и разоблачений Сноудена, материалов WikiLeaks и т.д., а также в век глобальной информационной войны, появление на свет инструмента Detekt можно считать как никогда актуальным.

Катализатором для его разработки также можно считать факт существования таких организаций, как вышеупомянутая FinFisher – это немецкая компания (является, если я не ошибаюсь, частью GammaInternational, базирующейся в Великобритании), разрабатывающая уникальные инструменты для кибершпионажа. Но выпускают подобные компании свои разработки не на черный рынок (для 'хакеров'), а продают за немалые деньги непосредственно правительственным организациям разных стран. И это ни для кого не секрет.

Также всем известно, что правительства и полицейские организации 'козыряют' тем, что безопасность граждан превыше всего и поэтому использование подобных шпионских продуктов является необходимостью. С этим, в принципе, сложно поспорить. Но одновременно сложно спорить и с тем, что зачастую под предлогом борьбы со 'злом' идет борьба с инакомыслием и свободой слова. 'Безопасность против Прав человека' - так написано в статье на сайте Amnesty International, посвященной выходу Detekt. Название у статьи, кстати, очень удачное и точно отражающее суть всего вышесказанного и происходящего: "Игра в 'кошки-мышки' с Большим Братом" (название привел не полное).Почитайте обязательно.

Ближе к делу. На текущий момент Detekt способен детектировать (простите за тавтологию) следы следующих вредоносных программ: DarkComet RAT, XtremeRAT, BlackShades RAT, njRAT, FinFisher FinSpy, HackingTeam RCS, ShadowTech RAT, Gh0st RAT.

Всё это шпионские инструменты, с помощью которых зараженный компьютер становится полностью подконтрольным владельцам этих инструментов. В арсенале подобных программ имеется огромный функционал, начиная от сбора паролей, снятия скриншотов экрана, копирования файлов с жесткого диска на свои сервера/компьютеры, заканчивая прямой слежкой в онлайн-режиме через веб-камеру и прослушкой через микрофон, ну, и т.д. Иными словами оператор этих программных инструментов может удаленно (т.е. через интернет) зайти на скомпрометированный компьютер и делать на нем все что угодно, будто он в действительности сидит перед этим компьютером.

Вот, к примеру, список того, что умеет делать FinFisher (взято с Хабра, очень интересная статья, кстати):

  • Сокрытие от 40 самых популярных антивирусных систем
  • Скрытая связь с контролирующим сервером
  • Полный мониторинг Skype (звонки, чаты, переданные файлы, видео, список контактов)
  • Сохранение сообщений основных средств общения (email, чаты, VoIP)
  • Онлайн трансляция при наличии веб-камеры и микрофона
  • Слежение за геоположением
  • Исследование локальных файлов
  • Кейлоггинг (фиксация нажатий на клавиши клавиатуры, в основном для сбора паролей)
  • Открытие удаленного доступа к системе
  • Сложные фильтры для сбора необходимой информации
  • Поддержка самых распространенных ОС (Windows, Mac OSX и Linux)

Обратите внимание на последний пункт. Миф о 'неуязвимости' Linux и MacOS на самом деле не что иное, как миф, и при определенных обстоятельствах эти ОС тоже могут быть скомпрометированы. Да, вирусов, в привычном понимании, для Linux действительно единицы, но доля вирусов и под Windows неумолимо падает. Привычные вирусы уже не интересны их создателям, они не актуальны. А вот более сложные и более универсальные и совершенные в техническом плане вредоносные программы, особенно использующие уязвимости 0-day (уязвимости нулевого дня, т.е. те дыры и бреши, которые удалось обнаружить злоумышленникам, но о которых больше не знает никто, включая разработчиков этих уязвимых приложений или ОС), существуют и активно эксплуатируются на любых операционках.

Несмотря на то, что Detekt способен обнаруживать указанное выше шпионское ПО, он не может гарантировать абсолютную защитуот него же. Это связано, прежде всего, с тем, что компьютер сканируется только на наличие известных ему вредоносов, а эти самые вредоносы могут быть модифицированы для обхода обнаружения. Также нельзя забывать о наличии секретных шпионских инструментов, которые могут быть еще неизвестны ни специалистам по информационной безопасности, ни, тем более, широкой общественности.

Следует также отметить, что Detekt ни в коем случае не является привычным антивирусом, и он ни в коем разе не может использоваться в качестве замены штатного антивирусного решения.

Тем не менее, именно Detekt в некоторых случаях позволяет обнаружить то, что казалось бы, должны обнаруживать штатные решения от ведущих антивирусных вендоров:

В одной зарубежной статье я также видел пример обнаружения Detekt`ом таких вредоносов, как njRat и XtremeRAT, в то время как зараженный компьютер под управлением Windows 7 был оснащен штатным антивирусом McAfee и дополнительными антивирусными инструментами - SUPERAntiSpyware и Malwarebytes.

Короче говоря, Detekt однозначно заслуживает внимания не только всяческих информаторов, журналистов, активистов и правозащитников, но и нашего с вами внимания - внимания простых пользователей ПК и интернета. Так что, давайте знакомиться с ним ближе.

Официальный сайт: https://resistsurveillance.org/.

Скачать Detekt можно с официальной страницы проекта на GitHub - https://github.com/botherder/detekt/releases

Скачиваем файл detekt.exe, сохраняем в удобное место. Программа не требует установки, поэтому для ее запуска достаточно просто запустить exe-файл.

Перед запуском крайне настоятельнорекомендуется отключить компьютер от интернета (например, извлечь сетевой кабель или отключить питание модема/роутера). Также стоит закрыть такие приложения, как Skype, различные мессенджеры, браузеры и т.п.

В Windows 7 запускать сканер следует от имени администратора

В старушке XP администраторские права не требуются.

Стартовое окно выглядит следующим образом:

Здесь всего две опции: выбор языка (оставляем English) и, собственно, старт сканирования – Start now! – жмем и ожидаем окончания процедуры. Она длится не долго.

Если Detekt ничего не обнаружил, то появится окно с соответствующей информацией:

Здесь пишется, что ничего не найдено. А также напоминается о том, что Detekt не является антивирусом, что крайне желательно всегда использовать штатное антивирусное средство и т.п. Помимо данного уведомления, в директории, куда вы сохранили файл detekt.exe, появится файл detekt.log. Это отчет о сканировании. Можете с ним ознакомиться.

Вот, собственно, и вся работа данного инструмента.

Если же вам повезло меньше и Detekt что-то обнаружит, то вы будете лицезреть примерно такое уведомление:

Изображение с сайта https://resistsurveillance.org/

Здесь указывается, что именно удалось обнаружить, какие действия стоит предпринять, и какие действия категорически противопоказаны:

  • Выключите компьютер.
  • Ни в коем случае не соединяйтесь с Интернетом.
  • Займитесь лечением или обратитесь к специалистам.

Важно понимать, что сам Detekt не лечит и не удаляет обнаруженное им вредоносное ПО. Так что следует прибегнуть к сторонним антивирусным продуктам. Также очевидно, что антивирус, который был установлен на зараженном компьютере, для лечения совершенно не годится. Нужно будет использовать продукты других производителей. В частности, вероятней всего, понадобятся специальные средства вроде AVZ (но не факт, что и они окажутся действенными).

Крайний случай (а может быть так даже и лучше) – это полное "обнуление" зараженного ПК. То есть, это не простая переустановка ОС, а более обширные действия, такие как, например, сброс и перепрошивка BIOS (помним о возможных биоскитах), очистка MBR/GPT и т.п.  (да-да вредоносные объекты могут "обитать" не только в операционной системе, но и далеко за ее пределами).

Короче говоря, вам, скорее всего, потребуется специалист, чтобы полостью вылечить зараженный компьютер. Кстати, на сайте проекта Detekt указаны адреса электронной почты экспертов, к которым можно попробовать обратиться за помощью:

В заключение хотелось бы отметить один случай – за первую неделю после релиза Detekt, специалистам по ИБ уже удалось выявить с его помощью модификацию FinFinisher, замаскированную под менеджер закладок. Вот здесь можете почитать об этом: http://www.securitylab.ru/news/462372.php

Кстати, SecurityLab – единственный ресурс в рунете, где я вижу освещение Detekt. Остальные порталы и издания почему-то не уделяют внимания этому инструменту. В мировом же интернете про Detekt пишут многие издания, в числе которых The Guardian, TechCrunch и проч.

Вот такой вот своеобразный продукт вышел на арену борьбы с вредоносами и шпионскими программами. Пользоваться им или нет – зависит от вашего рода деятельности и степени параноидальности =) Хотя с другой стороны, почему бы и не перепровериться? (помните про статью, на которую я давал ссылку в самом начале этого обзора, про RAT которая)

P.P.S.: Electronic Frontier Foundation (EFF) в партнерстве с такими гигантами IT-индустрии, как Mozilla, Cisco и др. анонсировали очень интересный проект - Let’s Encrypt.

С его помощью веб-мастера могут за считанные минуты получить SSL-сертификат для сайта(ов) абсолютно бесплатно. Отличительной особенностью данного проекта (от того же StartSSL, например) является простота всей процедуры – генерация, подпись сертификата и т.д. происходит при помощи специальной утилиты буквально в пару кликов.

Все это очень радует. Радует и EFF, и другие компании и некоммерческие организации, продвигающие в массы довольно интересные решения для того, чтобы люди чувствовали себя более безопасно в сети. Одно удручает – все эти конторы, в основном, из США. Я думаю, вы понимаете, о чем это говорит.