Zowel Facebook als het Amerikaanse beveiligingsbedrijf Rook Security hebben een gratis tool ontwikkeld waarmee gebruikers en systeembeheerders backdoors op hun systemen kunnen detecteren die afkomstig zijn uit de data die bij het Italiaanse HackingTeam werd gestolen.
Rook Security analyseerde de ruim 400GB aan gestolen data en ontdekte hierin 40 bestanden die gebruikt zouden kunnen worden voor het aanvallen van gebruikers of hierbij zouden kunnen assisteren. Om deze bestanden te detecteren ontwikkelde het beveiligingsbedrijf de "Milano" tool. De tool beschikt over een 'quick scan' en 'deep scan'.
De quick scan controleert op bestandsnaam. Als de gevonden bestandsnaam overeenkomt met de naam van één van de gevonden HackingTeam-bestanden, dan wordt vervolgens ook nog de md5-hash vergeleken met die van het gestolen HackingTeam-bestand. De deep scan vergelijkt de hash van alle bestanden op de computer met die van de HackingTeam-bestanden.
Vorig jaar lanceerde Facebook "osquery", een opensourceproject voor het monitoren van meerdere platformen, waaronder Ubuntu, CentOS en Mac OS X. Aan de hand van SQL-gebaseerde queries en tabellen kan de huidige staat van het besturingssysteem worden bekeken, zoals processen, geladen kernelmodules en open netwerkverbindingen. Volgens Facebook is osquery voor allerlei zaken in te zetten, zoals intrusion detection, compliance en vulnerability management.
Facebook heeft nu een nieuwe versie van osquery gelanceerd die gebruiksvriendelijker zou moeten zijn. Zo worden er "query packs" gebruikt, wat in principe gegroepeerde SQL-queries zijn die als bestand worden aangeboden. Eén van de packs die Facebook aanbiedt richt zich specifiek op Mac OS X-backdoors. Via het "OS X-attacks pack" kunnen organisaties nu controleren of een Mac-computer in hun omgeving met malware is besmet. Het gaat dan ook om de Mac-backdoor die in de gestolen data van HackingTeam werd aangetroffen.
bron: Security.nl