Насколько надежны и заслуживают доверия инструменты безопасности Objective-See (KnockKnock (UI), Dynamic Hijack Scanner и BlockBlock)?

Если вы посмотрите на код в репозиториях git , автором большей части кода является Патрик Уордл, который, по-видимому, является главным исследователем безопасности Jamf . Выглядит довольно достоверно.

Я использую многие из их инструментов, и это, вероятно, не ложное срабатывание. Единственные известные в настоящее время ложные срабатывания указаны на их веб-странице Dynamic Hijack Scanner (внизу) в Microsoft Messenger (mbukernel) и Microsoft Messenger Daemon (mbuinstrument).

Что касается результатов вашего сканирования, у меня также установлен BitTorrent Sync на моем Mac, и я получаю то же сообщение (проверено на двух других компьютерах Mac). Если я выполняю полное сканирование системы с помощью DHS, я получаю много других приложений с уязвимостью rpath и слабой уязвимостью, включая iMovie и многие инструменты Xcode. Обратите внимание, что это не то, о чем стоит слишком беспокоиться, так как ни одно из ваших приложений не «захвачено», а перехват dylib — это недавно обнаруженная уязвимость в OS X, и поэтому вы, вероятно, не увидите никаких атак в дикой природе. еще. Если вы более технический специалист, вы можете прочитать их слайды, представленные по этому вопросу на CanSecWest, здесь , а техническую документацию — здесь .

Я доверяю инструментам этой компании, и человек, стоящий за этим (Патрик Уордл), четко указан на странице «О нас» . Он опубликовал больше своих исследовательских работ по OS X, которые доступны внизу этой веб-страницы. Он также сделал много презентаций на конференциях по безопасности, включая DefCon, и является директором по исследованиям и разработкам в Synack .

KnockKnock — это инструмент, который сканирует постоянно установленные элементы на вашем Mac, включая расширения ядра, элементы запуска и элементы входа, и отображает их на экране.

Наконец, BlockBlock — это просто инструмент, который отслеживает все, что постоянно устанавливается (выполняется при загрузке каждый раз, когда ваш Mac загружается), например вредоносные программы — на момент написания этой статьи инструмент все еще находится в стадии бета-тестирования.

В конце концов, все они являются отличными инструментами безопасности Mac для проверки вашего Mac :).

Похоже, что большинство инструментов объективного просмотра предоставляются без исходного кода. Поскольку это исключает проверку заявленной функциональности и возможность создавать эти продукты самостоятельно, люди, заботящиеся о безопасности, не должны устанавливать эти инструменты. Учитывая тот факт, что эти инструменты часто работают с высокими привилегиями, осторожность имеет первостепенное значение.

Если я ошибаюсь, то информация о получении исходного кода должна быть, по крайней мере, более доступной.

Я установил инструменты Objective-See, а также несколько раз общался с Warden по некоторым вопросам.

Knock Knock выглядит нормально и включает в себя встроенную ссылку на общее количество вирусов в каждой строке отчета, чтобы вы могли немедленно получить сканирование VT для элемента. Аккуратный.

Block Block, кажется, перехватывает все, что пытается установить для запуска загрузки. Но это бета-версия, поэтому пробег может отличаться.

Сегодня (27 апреля) Objective-See написал в Твиттере о неприятном обсуждении вредоносных программ для Mac OS, опубликованном Checkpoint. В твите приложены скриншоты того, как Block Block подхватывает вредоносное ПО и дает пользователю возможность заблокировать установку. (В настоящее время вредоносное ПО поражает европейских налогоплательщиков в отчете Checkpoint). Несколько антивирусных агентов Virus Totals только что начали его обнаруживать. Тот факт, что Block Block обнаружил это процессом , а не белым списком, впечатляет.