Detekt: Neue Software gegen Überwachung veröffentlicht
von caschy | 36 Kommentare
Amnesty International, Digitale Gesellschaft, Electronic Frontier Foundation und Privacy International haben eine interessante Software von Claudio Guarnieri veröffentlicht. Detekt ist eine Software, die es sich auf die Fahnen geschrieben hat, Software aufzuspüren, die gemeinhin unter dem Label „Staatstrojaner“ zusammengefasst wird. Mit dem Tool für Windows können Anwender prüfen, ob auf ihrem Rechner Trojaner oder andere Spähprogramme aktiv sind. Bislang wird offenbar nur Windows 7 unterstützt, nicht aber Windows 8.
Die genannte Software richtet sich hauptsächlich an Aktivisten und Journalisten. Erkannt werden momentan folgende Trojaner:
* BlackShades RAT
* DarkComet RAT
* FinFisher FinSpy
* Gh0st RAT
* HackingTeam RCS
* ShadowTech RAT
* XtremeRAT
* njRAT
Die Lösung Detekt ist Open Source, kann also komplett von jedem eingesehen werden. Dennoch verweist man darauf, dass auch Detekt nicht sicherstellt, dass ein Rechner sauber ist:
Please beware that Detekt is a best effort tool. While it may have been effective in previous investigations, it does not provide a conclusive guarantee that your computer is not compromised by the spyware it aims to detect. The tool is provided as is, without warranties or guarantees of any kind.
Alexander Sander, Geschäftsführer des Digitale Gesellschaft e.V. dazu:
Mit der Software DETEKT wollen wir es Journalisten und Menschenrechtsaktivisten ermöglichen, ihre Computer nach staatlicher Überwachungs- und Schnüffelsoftware zu durchsuchen. Die Software ist ein weiteres Werkzeug für eine erfolgreiche digitale Selbstverteidigung und hilft, sich gegen den Überwachungswahn der Staaten und Regierungen zu Wehr zu setzen.
(Quelle: Netzpolitik)
Wird geladen ...
kein Windows 8? Fail… sogut wie jedes Gerät was man heutzutage kauft, kommt mit Windows 8 daher.
Egal für welche Windows-Version das funktioniert, die Kategorie iOS ist doch dann sicher ein Versehen, oder?
Und bei der aktuellen Verbreitung von Win 8.x ist es doch nicht verkehrt, sich erstmal um die „Bestandskunden“ der Trojaner zu kümmern.
@werkgerechtigkeit Tja, meist sind es arme Länder, mit armen Menschen in denen diese Software von Nöten ist. Und arme Menschen in armen Länder können sich wohl einfach nicht die versnobten Appleprodukte leisten. Seien stolz auf Ihre Applei und schwelgen Sie weiter in Ihrer Arroganz.
@ZornsLemma
Vielen Dank für den Hinweis, ich denke darüber im stillen Kämmerlein meiner Arroganz nach.
Gut dass Caschy die Kategorie schon geändert hat.
*darftrollnichtfütternmusssachlichbleiben*
Ob Open Source in diesem Zusammenhang eine gute Idee ist? Wenn die Trojaner-Entwickler exakt im Code nachlesen können, woran ihre Software erkannt wird, sollte es für sie ziemlich leicht sein, Gegenmaßnahmen zu ergreifen.
Wenn man der Github-Seite https://github.com/botherder/detekt glauben darf, dann funktioniert das Ganze sehr wohl unter Win8, aber nicht Win8 64Bit.
Ich habe mir Detekt eben mal runtergeladen und ausgeführt: man soll alle aktiven Netzverbindungen trennen und Detekt als Administrator ausführen. Nach dem Start reagiert das Programm sehr träge und scannt irgendwas – mangels Feedback, was gerade gemacht wird (man sieht nur einen „Throbber“-Balken ohne Fortschrittsanzeige) steht man da und fragt sich, was überhaupt passiert. Nach 30 Minuten habe ich den Prozess abgebrochen; während der Ausführung hatte ich permanent > 60% CPU-Auslastung, es muss wohl irgendwas passiert sein, aber wer weiß, was.
Sicher ist Detekt eine gute Sache, aber der Nutzer wird während des Scannens vollkommen alleine gelassen und erhält kein Feedback über den Fortschritt und weiß nicht, wie lange der Scan noch dauern wird.
@Martin, bei mir (Win8) lief es anders. Nach ca 10 Sekunden erschien die Nachricht, dass vermutlich alles sauber wäre.
Guten Tag !
Win 8.1 64bit:
Es sind Fehleraufgetreten, die das Ergebnis des Scans beeinflusst haben können:
Du benutzt eine nicht unterstützte Version von Microsoft Windows.
Klingt gut, doch leider muss ich @Martins Erfahrung teilen – man sieht weder Fortschritt noch Ergebnis o.Ä. (Win7 x64).
Habe es aber keine 30min ausgehalten. Sehr schade.
Das Ding ist wohl ein schlechter Scherz, oder ATI hilft beim Spionieren.
Das ist das Untersuchungsergebnis meines Rechners:
http://www.rainerullrich.de/temp/pics/detekt-ergebnis.png
In der von detekt.exe (v1) angelegten Log-Datei finde ich unzählige Hinweise der Art:
014-11-20 12:30:09,819 – detector – WARNING – Process MOM.exe (pid: 3812) matched: Gh0st at address: 0x57070D77, Value:
…
…
Immer wurde „nur“ die mom.exe beanstandet. mom.exe gehört zum ATI Catalyst Grafiktreiber, der bei mir installiert ist. Eine Untersuchung von mom.exe bei Virustotal brachte 0#56 Treffer.
Gut, dachte ich mir. Da ich ja eh ein Image gestern gemacht habe, habe ich mal den Catalyst mit allem drum und dran deinstalliert und detekt nochmal laufen lassen. Jetzt habe ich angeblich ein sauberes System.
So, was heißt das jetzt?
– ATI hilft beim Spionieren
– ein klassischer Fehlalarm
– detekt.exe ist unbrauchbar
happy computing
R@iner
PS: Untersuchung hat 27 Minuten gedauert und bei mir sind unter Windows in der Betriebssystempartition ~44 GB belegt.
@KChristoph
Ehrlich jetzt? In den Posts über Dir und auf der Seite wurde schon gesagt, dass es nicht mit Win8.1 64Bit funktioniert 😉
die Software bezeichnet sich selber als „ich“, auch geil 😉
An Sascha:
Ja, ich gehöre zu den Ungläubigen.
Windoof 8.1 64bit: Im Windoof 7 Kompatibilitätsmodus als Administrator ausgeführt; läuft. ?
Und das schon 5 Minuten. Bin gespannt, ob was gefunden wird.
Für alle, die ein Ende nicht abwarten können. In dem Verzeichnis, wo auch die Detekt.exe gestartet wird, wird eine Datei namens detekt.log angelegt. Da könnt ihr einen Blick rein werfen, ob er ggf. schon was gefunden hat.
Lustig. Auf einem frisch installierten System (von original Microsoft-Windows-DVD Win 7 x64 SP1u) das ich hier stehen habe, was bisher nie am Netz war (auch nicht LAN), daher auch noch keine Patches gesehen hat, sucht detekt.exe auch schon seit 50 Minuten und ist noch nicht fertig. In der Log-Datei wird bisher 3 Mal die explorer.exe als FinSpy und 2 x Njrat entdeckt.
Sehr dubios das Teil…
Ich hake das Teil als totale Fehlkonstruktion ab, da ich nicht glaube, dass sowohl die frische Installation bereits mit Staatstrojaner versehen ist, noch die mom.exe von ATI. Aber ich werde mal bei Gelegenheit das Netzwerk nochmal genauer anschauen.
Wie steht in Euren detect.log-Dateien?
happy computing
R@iner
@skyteddy
Ich teile deine Bedenken.
Siehe hierzu meinen Kommentar bei Netzpolitik.org:
____________________________________________________
„Hier mal die Ergebnisse meiner beiden durchgeführten Scans. Im ersten Scan wurde auf einen potentiellen Fund von “Xtreme Rat” hingewiesen. Scheinbar handelt es sich hierbei jedoch nur um meinen Virenscanner (Avira AntiVir):
http://pastebin.com/mrFWGxRD
Auch im zweiten Durchlauf wurde angeblich “Xtreme Rat” gefunden. Avira und Firefox (mit geöffneten Tabs zum Thema “Xtreme Rat”) wurden verdächtigt:
http://pastebin.com/iJxyvyd6
Eine vollständige Systemprüfung mit Avira Antivir und MS Defender wurde durchgeführt. Keine Viren oder Schadsoftware gefunden. Werde es später noch mit Bitdefender und Kaspersky prüfen.
Sieht stark / eindeutig nach Fehlalarm aus.“
So, habe dann nach 1h auch abgebrochen.
Laut LOG nichts gefunden.
Auf meinem x64-Test-System hat es eben 1h20m gedauert. Außer Windows und ein paar wenige Programme ist dort nichts installiert. Auf meinem Win 7 x32-System wo jede Menge mehr Zeugs installiert ist, war er in 27 Minuten fertig. Das Ding ist in meinen Augen unbrauchbar.
grobe Grütze