neprihlásený
|
Pondelok, 25. novembra 2024, dnes má meniny Katarína |
|
Avast sa mýlil, infekcia CCleaneru je oveľa vážnejšia. Prestrelka s Ciscom
Značky:
bezpečnosťsoftvér
DSL.sk, 21.9.2017
|
|
Bezpečnostný incident s distribúciou infikovaného populárneho softvéru CCleaner je vážnejší, ako pôvodne tvrdila spoločnosť Avast, materská spoločnosť tvorcu softvéru Piriform.
Incident a pôvodná verzia
Ako sme upozornili v pondelňajšom a utorňajšom článku, Piriform ponúkal takmer mesiac od 15. augusta do 12. septembra z oficiálnych serverov infikovanú verziu inštalátora CCleaner 5.33.6162 a tiež infikovanú verziu CCloud Cloud 1.07.3191.
V inštalátore bol infikovaný priamo inštalovaný spustiteľný súbor CCleaneru, pričom infekcia sa týka podľa Avastu iba 32-bitových verzií Windows.
Na tom odkiaľ užívateľ stiahol inštalačný súbor nezáležalo, podľa informácií Avastu pre DSL.sk všetky stránky distribuujúce CCleaner ponúkali rovnaký infikovaný inštalátor.
Podľa Avastu bolo incidentom postihnutých 2.27 miliónov užívateľov.
Ilustračný obrázok, CCleaner, kliknite pre zväčšenie (screenshot: Piriform)
Škodlivý kód v CCleaner kontaktoval server pod kontrolou útočníkov a mohol z neho stiahnuť a spustiť ďalší škodlivý kód.
Spoločnosť Avast ale pôvodne tvrdila, že podľa jej zistení vychádzajúcich z analýzy infikovaných počítačov sa žiadny ďalší škodlivý kód na počítače nestiahol. Podľa pôvodného odporúčania Avastu je tak postačujú, ak užívatelia s infikovanou verziou CCleaneru jednoducho nainštalujú novú neinfikovanú verziu 5.34.
Ako sme upozorňovali v našich článkoch, toto riešenie bez jasného potvrdenia stavu nemusí byť dostatočné a minimálne je odporúčané uskutočniť antivírusový sken systému. Ak sú na počítači citlivé informácie, užívatelia by mali zvažovať aj razantnejšie opatrenia.
Upozornili sme tiež na odporúčanie bezpečnostnej divízie Talos spoločnosti Cisco, ktorá odporúčala jednoducho pre istotu buď obnoviť stav systému do stavu pred 15. augustom alebo Windows reinštalovať. Podľa informácií pre DSL.sk zo začiatku týždňa v tom čase ale nemala informácie potvrdzujúce zrealizovanie sekundárnej infekcie.
Nové informácie
Opodstatnenosť väčšej opatrnosti a potenciálna nedostatočnosť inštrukcií Avastu sa teraz potvrdila.
Cisco a Avast dostali k dispozícii dáta zo servera používaného útočníkmi a tie potvrdzujú, že po nakontaktovaní servera škodlivým kódom prichádzalo k ďalšej infekcii.
Tá bola ale podľa kódu zo servera z polovice septembra veľmi selektívna, pričom ďalší škodlivý kód bol posielaný len na infikované počítače z viacerých firiem, na ktoré útočníci cielili. Išlo o technologické firmy, napríklad aj samotné Cisco, Microsoft, Samsung, Sony, VMware, MSI, Google, D-Link, HTC, O2, Vodafone, Epson, Akamai.
Databáza zároveň potvrdzuje, že len za štyri dni v septembri sa na server pripojilo 20 počítačov s dodatočnou infekciou. Avast z toho vyvodzuje, že ďalším škodlivým kódom mohli byť infikované minimálne stovky počítačov.
Samozrejme sa nedá ani vylúčiť, že niekedy po začiatku infekcie 15. augusta prišlo k veľkej zmene a pred ňou boli infikované ďalším škodlivým kódom počítače masovo. Na druhej strane nové získané informácie na to nepoukazujú.
Za škodlivým kódom bola podľa Cisca totiž pravdepodobne známa sofistikovaná hackerská organizácia respektíve skupina označovaná Ciscom ako Group 72, keď existujú zhody medzi použitým škodlivým kódom v tomto incidente a inom incidente pripísanom Group 72. Táto skupina cieli podľa Cisca na zaujímavé terče a firmy v USA, Japonsku, na Taiwane a v Južnej Kórei.
Ak je za incidentom naozaj takáto skupina, tá by sa pravdepodobne nechcela prezradiť vážnejším masovým útokom na všetky infikované počítače aby incident neodhalila a nepripravila sa o možnosť útočiť na zaujímavé ciele. Na druhej strane sa to nedá stopercentne vylúčiť.
Avast aj Cisco zverejnili čiastočnú analýzu ďalšieho doručovaného škodlivého kódu. Ten ale sťahoval znovu ďalší škodlivý kód už z iného servera a zatiaľ tak nie je jasné, čo skutočne robil.
Prestrelka Avastu s Ciscom
Incident od začiatku sprevádza aj prestrelka Avastu s Ciscom, ktoré na incident upozornilo popri Avaste v pondelok.
Cisco v pondelok informovalo, že infekciu detekovalo a nahlásilo ju Avastu. Netvrdilo, že Avast dozvedel o infekcii od neho, naopak informácie Cisca ukazovali na nezávislú detekciu incidentu. Cisco totiž podľa svojich informácií upozornilo Avast 13. septembra, ten už 12. septembra sprístupnil opravenú neinfikovanú verziu.
V utorok Avast ale v tomto oznámení viackrát komentuje priamo alebo nepriamo Cisco. V informácii, ktorá vyzerá ako snaha bagatelizovať prínos Cisca respektíve vyvracať že incident identifikovalo Cisco, informuje, že na incident ho upozornila spoločnosť Morphisec a že verí, že Cisco bolo upozornené na incident touto spoločnosťou.
Cisco v utorok doplnilo, že incident objavili Cisco a Morphisec v odlišných prípadoch.
Avast ďalej informuje, že Cisco si domény využívané škodlivým kódom registrovalo skôr ako mal šancu si ich registrovať Avast.
Hlavne ale Avast tvrdo kritizoval odporúčania, ktoré dávalo Cisco. V tomto prípade už Cisco nemenoval, vyjadril sa ale k odporúčaniam obnoviť systémy do stavu pred 15. augustom alebo ich reinštalovať. "Veríme, že to nie je nevyhnutné. Nepovažujeme obnovu postihnutých počítačov do stavu pred 15. augustom za nevyhnutnú. Z podobných dôvodov bezpečnostné spoločnosti väčšinou neodporúčajú zákazníkov reformátovať ich počítače po tom, ako bola na nich identifikovaná zraniteľnosť umožňujúca vzdialené spustenie kódu," uvádzal Avast.
Po nových informáciách zase Cisco kritizuje predchádzajúce odporúčania Avastu, hoci ho tiež nemenuje. "Bohužial, bezpečnostné udalosti ktoré nie sú kompletne pochopené sú bagatelizované v závažnosti. To môže byť proti záujmom obetí. Bezpečnostné spoločnosti musia byť konzervatívne v ich radách predtým ako sú známe všetky detaily útoku, aby pomohli užívateľom sa uistiť, že sú naďalej chránení," uvádza Cisco.
Odporúčania
Cisco po nových informáciách pochopiteľne nezmenilo svoje odporúčania a avizuje, že nové informácie len potvrdzujú jeho pôvodné odporúčania.
Avast svoje odporúčania zmenil na podobné odporúčania, aké sme dávali od pondelka našim čitateľom. Individuálnym užívateľom odporúča samozrejme upgradovať na aktuálnu verziu CCleaneru, aktuálne už 5.35, a aby používali kvalitný antivírusový produkt. Síce tvrdí, že pre indivuálnych užívateľov trvá na svojom pôvodnom odporúčaní, informácia o používaní antivírusu je ale pridaná, z informácií pochopiteľne vypustil, že jediným škodlivým kódom je kód v CCleaner, a odporúčania Cisca už nekrizuje ako nepotrebné.
Firmám Avast len hovorí, že ich reakcia môže byť odlišná v závislosti na ich IT politike. "V tejto fáze nemôžeme tvrdiť, že firemné počítače nemohli byť kompromitované, aj keď útok bol veľmi cielený," uvádza aktuálne Avast.
Zosumarizovaním, vhodným riešením pre všetkých užívateľov je minimálne samozrejme sa zbaviť infikovanej verzie CCleaneru napríklad upgradom na novú 5.34 a uskutočniť detailný antivírusový sken systému.
Ďalšie kroky sú na individuálnom zvážení užívateľov a závisia aj na tom, ako citlivé a dôležité informácie mali užívatelia na počítači a v sieti a aký je celkový prístup užívateľa alebo firmy k prípadnej infekcii. Pre bežných domácich užívateľov, ktorí bežne nereinštalujú svoj systém, sami by tak nespravili keby boli prípadne infikovaní vírusom alebo by to ani nezvládli, môže byť reinštalácia samozrejme príliš radikálnym odporúčaním a takéto odporúčanie tak zrejme nie je aspoň zatiaľ vhodným automaticky pre úplne každého.
Užívatelia sa tak musia rozhodnúť sami, aké riziko tolerujú a aké riešenie zvolia. Zatiaľ ďalšia infekcia bežných domácich užívateľov vyzerá menej pravdepodobná, vylúčená ale nie je. Či pre zmenu cieľov alebo prípadné infikovanie cieľov, ktoré v skutočnosti neboli zamýšlanými cieľmi.
Zatiaľ pre rozhodovanie užívateľov tiež ale samozrejme chýba dôležitá informácia, čo ďalší sťahovaný škodlivý kód robí. Bohužial zatiaľ nie je ani jasné, či bude táto informácia niekedy k dispozícii.
Najnovšie články:
inzercia
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
CCleaner
Od: Nasr
|
Pridané:
21.9.2017 14:01
CCleaner prinasa viac balastu ako pozitivneho efektu, a teraz to uz je aj potvrdene.
|
|
Re: CCleaner
Od: sak ja ne?
|
Pridané:
21.9.2017 14:13
Je to ideálna vec pre človeka, ktorý sa v PC nevyzná
1. Dáš mu to do PC ktorý má spomalený
2. Nech si vymaže dočasné súbory
3. Povieš mu aby si vymazal programy ktoré nepotrebuje
4. Vyberie si jeden obľúbený zo 4 nainštalovaných antivirákov...
5. Presvedčíš ho že je teraz PC v svojom TOP stave
6. Keď mu nestačí takto - nech zainvestuje
Poznámka: očakávajte zodpovednosť za každú sračku ktorá sa odvtedy v tom šrote stane. Je preto nutné zvážiť, či vôbec chcete začať
|
|
Re: CCleaner
Od: robota ...
|
Pridané:
21.9.2017 14:42
Asi máš nízku hodinovku, keď sa sťažuješ na zákazníka, keď sa obráti na teba.
|
|
Re: CCleaner
Od: somtoja
|
Pridané:
21.9.2017 15:14
co ak to je pre rodinu gratis ?
|
|
Re: CCleaner
Od: sak ja ne?
|
Pridané:
21.9.2017 15:52
Nie som ITčkár, ale ľudia okolo vedia že viem nainštalovať Skype...
|
|
Re: CCleaner
Od: masaaak
|
Pridané:
21.9.2017 18:30
Prave idem od suseda .... pouziva notebook acer ... nainstalovany win Vista .... skype prestalo podporovat win Vista .... ok ok telefon ma android tak to bude pohoda ... sused nema wifi, notebook napojeny na kabel dlhy 20 metrov od dalsieho suseda .... takze teraz je sused telefonom pripojeny na moju wifi s tym ze bude pouzivat na nej skype a aktualizacie ... hodina mojho zivota prec
|
|
Re: CCleaner
Od: 77899665875
|
Pridané:
21.9.2017 20:01
Ja som susedovi heslo na wifi nedal ani nedám. Hranice sú hranice. Pochopil to v pohode.
|
|
Re: CCleaner
Od: Gumshot
|
Pridané:
21.9.2017 20:50
Keby radsej odporucis kupu maleho usb wifi hotspotu... ten komfort
|
|
Re: CCleaner
Od reg.: roob_
|
Pridané:
22.9.2017 0:27
susedovi zajtra donesiem router - zarobene! pri nastavovani dame flasu Tullamore, prip. 2 flase frankovky/cabernetu, pripadne po 5 piv - nakupene! co viac si zelat od pekneho vecera. Jo.. aby to bola suseda, a mohol si odfajknut aj tretie policko..
|
|
Re: CCleaner
Od: policko
|
Pridané:
22.9.2017 8:29
.. nuz, mozno ak prida aj tretiu flasu, tak prekonate aj tieto zabrany a mozes odfajknut aj tretie policko :P
|
|
Re: CCleaner
Od: old
|
Pridané:
22.9.2017 13:39
to už rovno môžte dať dymku míru, howg
|
|
Re: CCleaner
Od reg.: roob_
|
Pridané:
23.9.2017 23:19
no way.. to tak nefunguje, keby fungovalo, tak ludstvo davno vymrie na nedostatok sexu s opacnym pohlavim.
|
|
Re: CCleaner
Od: quazak
|
Pridané:
21.9.2017 16:54
Install Arch...
|
|
Re: CCleaner
Od: syntaxterrorX XX
|
Pridané:
21.9.2017 17:12
1 z 1-ého experta odporúča pristúpiť k aktivite až po zverejnení oficiálneho prehlásenia spoločnosti Cisco o bezpečnosti inštalácie.
|
|
Re: CCleaner
Od reg.: K-NinetyNine
|
Pridané:
21.9.2017 16:52
ak servisujes windows pracovne stanice, tak jasne ze mas nizku hodinovku. v podradnej praci nemozes cakat vysoke financne ohodnotenie :)
|
|
Re: CCleaner
Od: balast123321
|
Pridané:
21.9.2017 14:52
menuj balast:
|
|
talk like a pirate day
Od: party
|
Pridané:
21.9.2017 14:08
Síce o dva dni neskoro, ale neodpustím si:
Avast! Ye scurvy scallywags!
|
|
Re: talk like a pirate day
Od: sak ja ne?
|
Pridané:
21.9.2017 14:14
Ay! Ay!
|
|
Re: talk like a pirate day
Od: taglajf
|
Pridané:
21.9.2017 14:39
dem wik fokz,kant cek oun sekoritej
|
|
Vycistenie
Od: martiiiiiinHK
|
Pridané:
21.9.2017 14:14
Ja mam dojem, ze dany incident je v uplnom poriadku s politikou CCleaneru. Po instalacii CCleaneru, je nutne preinstalovat operacny system a reformatovat disk. Zrychlenie behu operacneho systemu je zarucene.
|
|
Re: Vycistenie
Od: Ghjgf
|
Pridané:
21.9.2017 15:00
Neviem aky win pouzivas, ale ja uz od xp po win7 nemam s ccleanerom ziadny problem. Raz za uhorsky rok dam precistit docasne subory a registre. System sa itelne zrychli, hlavne ak mas ako sys disk klasicky hdd. Pri ssd uz nie je rozdiel tak vyrazny.
|
|
Re: Vycistenie
Od: Misiak654
|
Pridané:
21.9.2017 17:53
LOL som rad, ze nie som sam. Naposledy som ho pouzival vo Win XP a zakazdym mi zmizla polovica ikon z desktopu a vacsina programov nesla spustit. To sa mi stalo 2x a poslal som ho do certa diabla.
|
|
Re: Vycistenie
Od: janozlesa
|
Pridané:
21.9.2017 18:09
ked si bol taky idiot, ze si vsetko instaloval do adresara TEMP .... :D
|
|
Re: Vycistenie
Od: fsdfs
|
Pridané:
21.9.2017 23:47
Alebo bez rozmyslu zaciarkol vsetky moznosti, lebo predsa este cistejsi pocitac.:)
|
|
Rekapitulácia
Od: grr.
|
Pridané:
21.9.2017 14:50
Tak si to v rýchlosti zrekapitulujme: Milióny počítačov bolo infikovaných a Cisco s Avastom si merajú penisy a doťahujú sa či bola prvá sliepka alebo vajce. Komu to pomôže?
|
|
Re: Rekapitulácia
Od: syntaxterrorX XX
|
Pridané:
21.9.2017 15:54
Nemerajú. Cisco len tvrdí, že Avast nemá väčší, ale svoj nevytiahol.
|
|
Re: Rekapitulácia
Od: Nepravda
|
Pridané:
22.9.2017 9:30
Vobec nie. Cisco tvrdi nieco na zaklade svojej analyzy. A Avastu sa asi moc nepaci, ze sa pise viac o Ciscu ako o Avaste.
Kazdemu rozumnemu cloveku musi dojst, ze ak ma v systeme "navstevnika" o ktorom nevie co vsetko tam robi, tak je treba PC preinstalovat a data vytiahnut zo zalohy.
|
|
Re: Rekapitulácia
Od: syntaxterrorX XX
|
Pridané:
22.9.2017 12:08
Praveze rozumny clovek nemusi mat milosrdnost vlka, aby chorym kusom dozicil rychlu smrt.
|
|
Mohli by potvrdit
Od: Meno:
|
Pridané:
21.9.2017 15:13
Mohli by radsej na 100% potvrdit, ze sa infiltracia tykala len x86 verzie a ze x64 boli ciste. Ja som mal kompromitovanu verziu v x64 na dvoch kompoch, tak reku ci mam chytat paranoju ci flegmatizmus.
|
|
Re: Mohli by potvrdit
Od: syntaxterrorX XX
|
Pridané:
21.9.2017 17:49
https://youtu.be/fEAe1GGaIHE?t=0m33s
|
|
32-bitové obete
Od: huncút
|
Pridané:
21.9.2017 16:53
Ja tvrdím, že infikovný CCleaner napáda len 32-bitové PC z toho dôvodu, že v Kórejskej ľudovodemokratickej republike jednoducho nemali dosť 64-bitových mašín pre dev a test prostredia.
|
|
Re: 32-bitové obete
Od reg.: silly bobby
|
Pridané:
21.9.2017 22:57
...ale maju, skladaju to z PS4, ktore nosi Rodman raz za cas zo statov na severokorejsky diplomaticky pas.
|
|
hej marta
Od: .Matúš
|
Pridané:
21.9.2017 17:26
Ja by som som im ked uz teda poslal nejake data na te ich sevre.je dane ze ak je zlodej hladny nakrm ho.tak treba mu volaco poslat.
|
|
Nespravny titulok
Od: whoa
|
Pridané:
22.9.2017 6:39
Avast je firma, takze v nadpise ma byt: "Avast sa mylila...". Pozor na tieto nedostatky.
|
|
Re: Nespravny titulok
Od: frufru
|
Pridané:
22.9.2017 9:07
keby bolo v nadpise "firma avast" tak by tam malo byt "milila", kedze "avast" je meno(pravdepodobne muzskeho rodu) tak tam je spravne "mylil".
ale je mozne ze som sa zmylil/a :-)
|
|
Re: Nespravny titulok
Od: 2wewreqr
|
Pridané:
22.9.2017 13:40
to akoze Microsoft oznamila novinky na tento rok? :-)
Aladar, budem ta nabonzovat tvoj ucitelka lovenciny. :-)
|
|
Re: Nespravny titulok
Od: whoa
|
Pridané:
22.9.2017 15:23
Som rad, ze ste reagovali. Ja som chcel tymto iba upozornit na to, ze na tejto stranke sa tvrdosijne uvadza Apple v zenskom rode a zdovodnuje sa prave tym, ze je to ta firma, teda ta Apple. Co je samozrejme nespravne. Ako Apple, tak aj Google, Avast a i. su muzskeho rodu, teda jedine spravne je napisat "Avast sa mylil", ale takisto napr. "Apple predstavil".
|
|
Warez
Od: x3m
|
Pridané:
22.9.2017 14:16
A preto treba stahovat SW z dobrych warezovych for a trackerov, kde ludia to co stahuju aj kontroluju :) Tam by sa ziaden zavireny SW dlho neudrzal.
|
|
Re: Warez
Od: .....
|
Pridané:
22.9.2017 16:51
Cim by to zkontrolovali ked antiviry o tom nemali vtedy este sajnu?
|
Pridať komentár
|
|
|
|