Was verbirgt sich hinter „Detekt“?
Mit diesem kleinen Tool können derzeit sieben Malware-Kategorien erkannt werden, die als Spyware eingestuft werden. FinSpy von FinFisher ist eines der bekannteren Produkte, die das Tool erkennen soll.
Wie funktioniert es?
Das Tool scannt den Inhalt des Arbeitsspeichers unter Verwendung von Yara-Regeln. Es sucht bestimmte Zeichenfolgen (z. B. Dateinamen und Pfade), welche bekanntermaßen von den Malware-Familien genutzt werden, die es erkennen soll. Falls eine repräsentative Menge spezieller Zeichenfolgen auf dem gescannten Rechner gefunden wird, alarmiert das Tool den Benutzer über eine mögliche Infektion.
Die Grenzen von „Detekt“
Zunächst einmal ist „Detekt“ ein Tool, das lediglich ein reaktives Konzept verfolgt. Es scannt den Inhalt des Arbeitsspeichers anhand einer Liste von Regeln. Somit kann es eine Infektion erst dann melden, wenn diese bereits eingetreten ist. Das Tool kann keine Infektionen verhindern und ist, soweit wir dies anhand der Beschreibungen sehen, auch nicht in der Lage, etwaige bereits vorhandene Infektionen zu isolieren oder zu bereinigen. Auf der Projekt-Website werden die Benutzer dazu aufgefordert, „die Nutzung infizierter Computer unverzüglich einzustellen und diese vom Internet, von sonstigen Netzwerkressourcen und Wechselmedien zu trennen, wenn diese nicht unbedingt erforderlich sind“ und sogar Überlegungen anzustellen, „ob der betreffende Computer nicht besser entsorgt werden sollte“. Eine derart drastische Lösung verunsichert die Benutzer natürlich, unter anderem auch dadurch, dass die entsprechende Alarmmeldung von „Detekt“ keine weiterführende Hilfe zur detaillierten Evaluierung der Situation bietet. Wir, wie auch die oben genannten Projektorganisationen, empfehlen dringend, sich in einem solchen Fall von einem kompetenten Ansprechpartner beraten zu lassen. [1]
Darüber hinaus sind die von diesem Tool genutzten Yara-Regeln öffentlich zugänglich. Infolgedessen werden nach Angaben der Entwickler-Website resistsurveillance.org „einige Spyware-Produkte als Reaktion auf die Veröffentlichung von Detekt wahrscheinlich entsprechend aktualisiert werden, um künftig unentdeckt zu bleiben. Darüber hinaus gibt es möglicherweise Versionen der Spyware dieser oder anderer Anbieter, die von diesem Tool nicht erkannt werden können.“ Folglich muss das Tool regelmäßig gewartet und aktualisiert werden, um sicherzustellen, dass neuere Versionen etwaiger Spyware-Produkte ebenfalls entdeckt werden können, wobei amnesty.org einräumt, dass „Detekt“ „nicht alle Überwachungssoftwareprodukte erkennen kann“.
Amnesty International „bittet daher Sicherheitsexperten aus der Open-Source-Community, die hinter diesem Projekt stehenden Organisationen bei der Pflege von Detekt zu unterstützen, damit Spyware oder neue Versionen erkannt werden können und damit das Tool immer auf dem aktuellsten Stand gehalten werden kann“. Dies erfordert eine Menge an Ressourcen – die ohne Zweifel einem guten Zweck dienen.
„Es ist jedoch wichtig Folgendes klarzustellen: Falls Detekt keine Spuren von Spyware auf einem Computer findet, muss dies nicht unbedingt bedeuten, dass keine Spyware vorhanden ist“, bemerkt amnesty.org abschließend.
Benötige ich auch noch eine Virenschutzlösung, wenn ich „Detekt“ installiere?
Ja, aber sicher! Sicherheitslösungen wie die Produkte von G DATA verfolgen ein völlig anderes Konzept bei der Erkennung und Bekämpfung von Malware: Reaktive und proaktive Technologien spielen zusammen, um den Computer zu schützen, bevor Malware den Rechner erreichen und bevor eine Infektion erfolgen kann. Insbesondere die dynamischen Komponenten wie etwa der verhaltensbasierte Blocker, der Exploit-Schutz, der Keylogger-Schutz und weitere Technologien sind sehr wirksam, wenn es darum geht, Infektionen vorzubeugen.
Fazit
„Detekt“ verfolgt ein Konzept, das wir sehr zu schätzen wissen. Es handelt sich um ein einfaches Tool, das dazu beitragen kann, bestimmte Bedrohungen für Computer zu erkennen. Dennoch müssen wir sicherstellen, dass die Benutzer dieses Tool nicht mit einer umfassenden Sicherheitslösung verwechseln, denn das ist „Detekt“ schlichtweg nicht.
G DATA weist immer wieder ganz klar darauf hin, dass G DATA nicht zwischen Malware unterscheidet, die von Kriminellen entwickelt und genutzt wird, und solcher, die von Regierungsbehörden oder ähnlichen Organisationen entwickelt und eingesetzt wird. Das Unternehmen hat freiwillig einen Verhaltenskodex der deutschen Organisation TeleTrusT unterzeichnet. Diese enthält die Selbstverpflichtung, Sicherheitslösungen anzubieten, welche garantiert keine eingebauten Hintertüren enthalten und somit berechtigt sind, das Qualitätssiegel IT Security made in Germany zu führen.
[1] Falls Sie mit diesem Tool eine Infektion festgestellt haben und eine Beratung durch Experten von G DATA wünschen, nutzen Sie bitte das Formular zur Einsendung von Samples auf der Website der G DATA SecurityLabs. Dort können Sie die von „Detekt“ erstellte Protokolldatei des Scans hochladen und angeben, dass die Erkennung mit dem Tool „Detekt“ vorgenommen wurde. Sie können sich selbstverständlich auch an den Kundendienst von G DATA wenden, um sich beraten zu lassen.