On 26/04/2017 13:27, cocco wrote:
> Geni, la wiki, che rilinko,
> https://www.autistici.org/underscore/di-trojan-di-stato-details.html
> e' bellissima!
> Ho letto che su linux si puo guardare in
> ~/.config/autostart/.*, /var/crash/.report* e /var/tmp/.report*
> per vedere se ci stanno galileando.
> Ma e' invece possibile/plausibile viluppare un tool per rilevare questo
> tipo di malware anche su android e windows?
attenzione, quello che dici e' vero per quanto e' possibile vedere dal
leak ht, che pero' ha due anni, sicuramente i path non sono rimasti
gli stessi. in user-space inoltre ci sono mille modi per rimanere
persistenti senza scomodare root, non solo ~/.config/autostart .
scomodando root i modi diventano davvero tanti.
rilevare l'esistenza di un malware non e' una cosa semplice, anche
se mi piacerebbe molto ricevere suggerimenti in merito.
sarebbe bello avere un access point con una fastidiosa sirena che si
accende quando uno dei dispositivi connessi effettua traffico
sospetto, ma credo sia un problema complesso da tanti punti di vista.
ieri e' uscito un'interessantissimo post su qubes-os.org a
riguardo, cito la parte nel merito:
"The inconvenient and somehow embarrassing truth for us – the malware
experts – is that there does not exist any reliable method to determine if
a given system is not compromised. True, there is a number of conditions
that can warn us that the system is compromised, but there is no limit on
the number of checks that a system must pass in order to be deemed "clean"."
https://www.qubes-os.org/news/2017/04/26/qubes-compromise-recovery/
ovviamente lavorare sulla prevenzione e' molto piu' sensato ecco
un paio di link su cui stiamo studiando, anche qui, suggerimenti
benvenuti, sarebbe figo fare ad hackit una sessione di hardening sui
dispositivi dei valligiani (e anche i nostri).
#windows
https://github.com/securitywithoutborders/hardentools
#linux
https://firejail.wordpress.com/
https://blog.jessfraz.com/post/runc-containers-on-the-desktop/
#android
https://github.com/M66B/XPrivacy