Спецслужбы Канады выпустили свой антивирус

Спецслужбы Канады выпустили свой антивирус

Канадский Центр безопасности коммуникаций создал свой антивирусный продукт с открытым исходным кодом.

Инструмент получил имя Assemblyline, его описывают как «масштабируемую распределенную структуру анализа файлов», которая может «обнаруживать и анализировать вредоносные файлы по мере их получения».

Спецслужбы объяснили принцип работы Assemblyline на примере получения сотрудником вредоносного электронного письма:

«Предположим, сотрудник организации получает электронное письмо, содержащее защищенный паролем .zip-файл, в котором находится электронная таблица и документ Word. Assemblyline начнет с изучения исходного письма. Он автоматически распознает различные форматы файлов (.zip-файл, электронная таблица, документ Word) и запускает анализ каждого из этих файлов. В конце этого анализа дается оценка каждому файлу».

Инструмент достаточно умен, чтобы распознавать дублирование файлов при пересылках и фокусироваться на новом контенте, который может быть частью электронной почты, например, изображение .jpeg.

Assemblyline можно настроить на использование сервисов, которые выполняют любой анализ, который вы хотите.

Инструмент написан на Python и может работать на одном компьютере или в кластере. Разработчики заявляют, что никакой коммерческой составляющей в разработке Assemblyline нет.

Assemblyline выпущен под лицензией MIT и доступен по этой ссылке.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Ханитокен: эксперты научились вычислять непорядочные Facebook-приложения

Команда исследователей обнаружила способ проверки соблюдения правил конфиденциальности разработчиками приложений для Facebook. Описанный специалистами метод поможет выявить несанкционированную передачу пользовательских данных третьим лицам.

CanaryTrap — так назвали свой способ эксперты из Университета Айовы. В основе CanaryTrap лежит использование так называемых ханитокенов (honeytoken) — поддельных файлов или данных.

Ханитокены (по аналогии с ханипотами) представляют собой фрагменты-приманки, которые ИТ-специалисты могут расставить внутри своей сети. Если к этим фейковым данным и файлам кто-то получает доступ или начинает их использовать, администраторы могут зафиксировать вредоносную активность.

В исследовании сотрудников университета — «CanaryTrap: Detecting Data Misuse by Third-Party Apps on Online Social Networks» — утверждается, что ханитокенами служили уникальные адреса электронной почты, с помощью которых специалисты регистрировали аккаунты Facebook.

После регистрации учётной записи исследователи устанавливали поочерёдно приложения, использовали их в течение 15 минут, а затем просто удаляли из аккаунта.

 

Далее эксперты проверяли входящие ящики подставных электронных ящиков на наличие нового трафика. Если на эти ящики приходило новое письмо, тогда фиксировалась передача пользовательских данных третьим лицам.

Помимо этого, специалисты использовали специальный инструмент от Facebook — «Why Am I Seeing This?»  С его помощью они мониторили использование ханитокенов для целевой рекламы.

 

В общей сумме исследователи проверили 1024 приложения и выяснили, что 16 программ отправляли адрес электронной почты пользователя третьей стороне. Со списком сомнительных приложений можно ознакомиться ниже:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru