Re: [Hackmeeting] captatori informatici trojan di stato

Delete this message

Reply to this message
Author: samba
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] captatori informatici trojan di stato
ciao,

per molto tempo quello che eravamo in grado di consigliare è di non
fidarsi dei telefoni, ma sempre di più questi aggeggi sono diventati un
estensione di ciò che facciamo giorno per giorno e non è più accettabile
non essere in grado di non sapere cosa c'è dentro.

Sui captatori informatici il tema è vasto, non sarò in grado di
riassumere in una mail del mattino la questione poichè capire come
funzionano richiede magia la conoscenza della magia nera, quindi spoiler:
non è semplice sapere come identificare un malware in un dispositivo.

Detto questo da qualche tempo c'è chi si sta sbattendo diciamo tra czlab
e amnesty tech e altre ong, son per lo più gruppi che provano a mettere
insieme le forze e mappare degli indicatori di compromissione (Ioc) sui
telefoni e lasciano quindi traccia di un'infezione.

Per farla più semplice parliamo di piccole tracce, come un sms sul
telefono, un messaggino whatsapp o telegram, con un link stano, di una
chat archiviata, un app installata. Oppure parliamo di processi in
running sul telefono che non hanno nessun riscontro tra le mille app che
esistono. Parliamo di eseguibili marcati come merda su virustotal, per
arrivare poi a mappare tutto quello che esiste sul telefono e
identificare se c'è qualcosa di strano che non si consoce.

Non è un processo semplice, richiede collaborazione e aggiornamento
costante. I malware hanno un giro di miliardi di dollari e vengono
aggiornati in continuazione per essere invisibili. Quindi la sfida per
identificarli richiede molta collaborazione, tempo, pazienza, falsi
positivi.

Detto questo ecco cosa esiste e cosa conosco che si sta usando per
identificare e analizzare, se volete dare una mano su alcuni di questi
progetti o c'è interesse a tirare su qualcosa di nostro penso possa
essere un bel argomento per il prossimo hackmeeting.


# Mobile Verification Toolkit

Mobile Verification Toolkit (MVT) is a collection of utilities to
simplify and automate the process of gathering forensic traces helpful
to identify a potential compromise of Android and iOS devices.

https://github.com/mvt-project/mvt


# Android QF

androidqf (Android Quick Forensics) is a portable tool to simplify the
acquisition of relevant forensic data from Android devices.

https://github.com/botherder/androidqf

# Emergency VPN

The Emergency VPN is a service that provides a free security assessment
of your phone’s network traffic to determine if your phone is infected,
under attack, or compromised.

https://www.civilsphereproject.org/emergency-vpn


ps.
quest'ultimo progettingo in particolare è molto interessante per me e
sarebbe carino parlarci per vedere se abbiamo interesse nel intessere un
gruppetto che vuole fare un sistema di emergency vpn per rilevare
malware sui telefoni. richiede vari ip address, i captatori di solito
capiscono che stanno ingabbiati in una vpn.

sperando di aprire una discussione su questo tema
vi saluto da una città nuvolosa,

samba