¿Qué tan confiables son las herramientas de seguridad de Objective-See (KnockKnock (UI), Dynamic Hijack Scanner y BlockBlock)?

Si observa el código en los repositorios de git , el autor de gran parte del código es Patrick Wardle, quien parece ser un investigador principal de seguridad de Jamf . Parece bastante confiable.

Uso muchas de sus herramientas y esto probablemente no sea un falso positivo. Los únicos falsos positivos actualmente conocidos indicados en su página web Dynamic Hijack Scanner (en la parte inferior) son Microsoft Messenger (mbukernel) y Microsoft Messenger Daemon (mbuinstrument).

Acerca de los resultados de su escaneo, también tengo BitTorrent Sync instalado en mi Mac y recibo el mismo mensaje (probado en otras 2 Mac). Si realizo un análisis completo del sistema con DHS, obtengo muchas otras aplicaciones que tienen la vulnerabilidad rpath y la vulnerabilidad débil, incluidas iMovie y muchas herramientas de Xcode. Tenga en cuenta que esto no es algo de lo que deba preocuparse demasiado, ya que ninguna de sus aplicaciones está "secuestrada" y el secuestro de dylib es una vulnerabilidad recién descubierta en OS X y, por lo tanto, es probable que no vea ningún ataque en estado salvaje. todavía. Si es del tipo más técnico, puede leer las diapositivas presentadas sobre esto en CanSecWest aquí y el documento técnico aquí .

Confío en las herramientas de esta empresa y la persona detrás de esto (Patrick Wardle) se indica claramente en su página Acerca de . Ha publicado más de sus trabajos de investigación de OS X que están disponibles en la parte inferior de esa página web. También ha realizado muchas presentaciones en conferencias de seguridad, incluida DefCon, y es el Director de I+D de Synack .

KnockKnock es una herramienta que busca elementos instalados de forma persistente en su Mac, incluidas extensiones de kernel, elementos de inicio y elementos de inicio de sesión, y los enumera en la pantalla.

Por último, BlockBlock es simplemente una herramienta que observa cualquier cosa que se instale de forma persistente (se ejecuta en el arranque cada vez que se inicia su Mac), como el malware; la herramienta aún está en versión beta al momento de escribir este artículo.

Al final, todas son excelentes herramientas de seguridad de Mac para verificar su Mac :).

La mayoría de las herramientas de Objective-See parecen proporcionarse sin código fuente. Como esto impide la verificación de la funcionalidad indicada y la capacidad de crear estos productos usted mismo, las personas preocupadas por la seguridad no deben instalar estas herramientas. Dado el hecho de que estas herramientas a menudo operan con altos privilegios, la cautela es primordial.

Si me equivoco, entonces la información sobre cómo obtener el código fuente al menos debería estar más disponible.

Instalé las herramientas de Objective-See y me comuniqué varias veces con Warden sobre algunas preguntas.

Knock Knock parece estar bien e incluye un enlace integrado al total de virus con cada fila del informe para que pueda obtener inmediatamente un análisis VT del elemento. Limpio.

Block Block parece detectar cualquier cosa que intente instalar para iniciar el arranque. Pero es beta, por lo que el kilometraje puede variar.

Hoy (27/4) Objective-See tuiteó sobre una desagradable discusión sobre malware para Mac OS publicada por Checkpoint. En el tweet se incluyen capturas de pantalla de Block Block recogiendo el malware y dando al usuario la oportunidad de bloquear la instalación. (El malware en este momento está afectando a los contribuyentes europeos en el informe de Checkpoint). Un puñado de agentes antivirus de Virus Totals acaba de comenzar a detectarlo. El hecho de que Block Block lo detecte por proceso y no por una lista blanca es emocionante.