image

EFF: Aanval op CCleaner ondermijnt vertrouwen in software

woensdag 20 september 2017, 12:26 door Redactie, 13 reacties

De aanval op de populaire tool CCleaner waar aanvallers een backdoor aan een officiële versie toevoegden ondermijnt het vertrouwen van gebruikers in software, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Aanvallers wisten waarschijnlijk op 3 juli toegang tot de ontwikkelsystemen van ontwikkelaar Piriform te krijgen. Vervolgens werd er een backdoor aan een gesigneerde versie toegevoegd, die 2,2 miljoen keer werd gedownload.

De backdoor bleef een maand lang onopgemerkt. Volgens de EFF laat de aanval zien dat ontwikkelaars hun eigen ontwikkelomgeving moeten wantrouwen, zoals Mozilla doet, en met 'reproducible builds' gaan werken. Hierbij kan een derde partij controleren of de bestanden met de broncode overeenkomen.

"Het doel is om de interne en release-infrastructuur op zo'n manier te beveiligen dat geen enkele aanval, ook niet door een kwaadwillende actor binnen het bedrijf, onopgemerkt blijft", aldus Gennie Gebhart van de EFF. Ze stelt dat de impact van deze aanval verder gaat dan de 2,2 miljoen mensen die de besmette versie hebben gedownload. Het ondermijnt namelijk het vertrouwen van veel meer gebruikers in officiële downloadlocaties, updates en software in het algemeen.

Toch zijn dit soort 'supply chain' aanvallen zeldzaam en lopen gebruikers meer risico door hun software niet te updaten, aldus Gebhart. De EFF adviseert internetgebruikers dan ook om alleen vanaf betrouwbare, officiële locaties te downloaden en software-updates zo snel als mogelijk te installeren. Voor ontwikkelaars en softwarebedrijven is de aanval op CCleaner een herinnering dat ze elk onderdeel van hun logistieke keten moeten beveiligen.

Reacties (13)
20-09-2017, 14:18 door Anoniem
En daarom zal iedereen het alternatief "Bleachbit" moeten prefereren.
Hiervan is in ieder geval de source open, zodat men zelf naar eventuele backdoors zou kunnen gaan zoeken.
20-09-2017, 15:03 door Anoniem
Door Anoniem: En daarom zal iedereen het alternatief "Bleachbit" moeten prefereren.
Hiervan is in ieder geval de source open, zodat men zelf naar eventuele backdoors zou kunnen gaan zoeken.

Het gaat niet om dit specifieke geval maar om het algemene vertrouwen. Dit is gewoon een probleem met alle software van derden. Daarom is een systeem met een goed gecontroleerde app store veiliger.
20-09-2017, 15:14 door karma4
Meer problematisch is dat snel bijwerken of even van vertrouwde site downloaden onder verdacht komt.
Zo gek is EFF niet. Dank voor de bevestiging.
20-09-2017, 15:56 door Anoniem
Het probleem van een appstore model is:
1. Makkelijk(er) te censureren
2. Beperkter aanbod/minder innovatie (b.v. als ontwikkelaar je verplicht moeten registreren / signing certificaat aanvragen / whatever)
3. Geen / minder vrijheid om als computer specialist aanpassingen te maken aan applicaties
4. Geen broncode? (al heb je dat bij MS ook niet snel in handen)

Voordelen zijn inderdaad: (afhankelijk van screening) de veiligheid, wellicht versimpeling van installatie/gebruik dus minder computer vaardigheden nodig voor eindgebruiker.

Wat mij met name stoort aan dit gebeuren is dat een AV ontwikkelaar zijn zaakjes niet op orde heeft. Als Mozilla een oplossing heeft, de reproducible builds, dan verwacht ik als "consument" dat ontwikkelaars van kritieke applicaties dit ook zeker hebben.

Kijk naar publicaties van o.a. Google Project0 / Tavis Ormandy / Steeven Sealey en er worden nog vele lekken ontdekt welke met een SDLC toch een stuk minder voor zouden moeten komen.....
20-09-2017, 16:00 door Anoniem
Misschien wil karma4 me wel gelijk geven dat we op het ogenblik te maken hebben met een heel groot vertrouwensprobleem
qua software integriteit en ook op de generieke veiligheid van de infrastructuur speelt het een en ander.

De integriteit van de algemene infrastructuur wordt al een tijdje flink ondermijnd. Vanaf het begin is er iets losgelaten op het Internet, dat er qua veiligheid nog niet klaar voor was (Reich's Javascript-concept uit 1983) enz. enz. Dan is er de inherente onveiligheid door grote non publieke datagraaiers en wat bekend is geraakt van opzettelijke ondermijningsacties van staatsacteurs (als NSA, CIA e.d.). Nu de huidige certificaat ellende (Symantec versus Google in een gespeeld melodrama).

De huidige IT kaders zijn hier maar voor een klein gedeelte tegen opgewassen en doen wat ze kunnen. Meer rust in de tent komt er voorlopig nog niet, omdat bepaalde onveiligheid bevorderende partijen niet anders willen. Droevig, maar helaas maar al te waar, het blijft dus dweilen met alle kranen vol open.

Enige hoop is m.i. meer mensen die goed zijn opgeleid en met relevante kennis van zaken. In hoeverre ze een kans zullen krijgen valt ook nog te bezien. Sommige partijen kunnen ze wellicht missen als kiespijn.
20-09-2017, 17:18 door karma4 - Bijgewerkt: 20-09-2017, 17:21
Door Anoniem: Misschien wil karma4 me wel gelijk geven dat we op het ogenblik te maken hebben met een heel groot vertrouwensprobleem
qua software integriteit en ook op de generieke veiligheid van de infrastructuur speelt het een en ander.
Ik geef je volledig gelijk. Je hebt je mening die ik deel uitstekend verwoord.

Sorry voor de verwijderde post hierna. Even een slechte verbinding.
20-09-2017, 17:18 door karma4
[Verwijderd]
20-09-2017, 21:09 door Anoniem
Vervolgens werd er een backdoor aan een gesigneerde versie toegevoegd, die 2,2 miljoen keer werd gedownload.
De backdoor bleef een maand lang onopgemerkt.

Als je iets toevoegt aan iets wat al gesigneerd is dan verandert de signature. Daar zijn ze jusit voor. Het lijkt me sterk dat geen van die 2.2 miljoen mensen de signature heeft gecontroleerd waardoor dit een maand lang onopgemerkt bleef.

Klinkt een beetje als een half verhaal dit
21-09-2017, 08:06 door SecGuru_OTX
Talos heeft nu ook additionele payload waargenomen, de payload is gericht om 20 andere organisaties aan te vallen:

http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

Avast geeft nu ook een ander advies:
https://blog.avast.com/progress-on-ccleaner-investigation

Mijn advies:
Heb je ooit versie 5.33 geinstalleerd: Installeer je computer opnieuw en wijzig al je wachtwoorden.

Daarnaast mijn persoonlijk advies: gebruik geen CCleaner of Avast meer.
21-09-2017, 08:56 door Anoniem
Door Anoniem:
Vervolgens werd er een backdoor aan een gesigneerde versie toegevoegd, die 2,2 miljoen keer werd gedownload.
De backdoor bleef een maand lang onopgemerkt.

Als je iets toevoegt aan iets wat al gesigneerd is dan verandert de signature. Daar zijn ze jusit voor. Het lijkt me sterk dat geen van die 2.2 miljoen mensen de signature heeft gecontroleerd waardoor dit een maand lang onopgemerkt bleef.

Klinkt een beetje als een half verhaal dit

Denk je nu echt dat de grote massa gebruikers de signature controleert? Ze weten niet eens wat dat is. En de mensen die het wel weten en controleren downloaden software van de officiële bron schat ik zo in en niet van een site waar je allerlei software kunt downloaden. Iemand die een beetje verstand van zaken heeft gebruikt sowieso zulke onzinnige tools niet. Of die gebruikt MacOS of Linux o.i.d. waar je dit soort tools al helemaal niet nodig hebt.
21-09-2017, 10:33 door Anoniem
Door Anoniem:
Denk je nu echt dat de grote massa gebruikers de signature controleert?

Niet de grote massa, maar op 2.2 miljoen gebruikers verwacht ik er toch minimaal (iets meer dan) een paar.

Door Anoniem:
En de mensen die het wel weten en controleren downloaden software van de officiële bron schat ik zo in en niet van een site waar je allerlei software kunt downloaden.

Waarop baseer je dat het probleem alleen op onofficiële sites was? Dat is niet aannemelijk aangezien het artikel meldt dat de aanvallers waarschijnlijk toegang gehad hebben tot de ontwikkelsystemen. Dat duidt er op dat ook de officiële bron compromised was.

En dan is het dus zeer onwaarschijnlijk dat het op zo'n groot aantal (2.2 miljoen) niemand is opgevallen.
Ik vermoed dus dat het artikel de situatie niet goed verwoord door te stellen dat ze iets hebben toegevoegd aan de gesigneerde versie. Waarschijnlijk hebben ze dit al toe kunnen voegen voordat het gesigneerd werd.
21-09-2017, 12:19 door Anoniem
Door Anoniem: (Reich's Javascript-concept uit 1983)
Je bedoelt Brendan Eich en het jaartal is 1995.

Zoeken naar "javascript reich" leverde overigens wel iets interessants op: ;-)
https://teropa.info/blog/2016/07/28/javascript-systems-music.html
22-09-2017, 14:31 door Anoniem
Ja het is Brendan Eich, de developer achter de Brave web browser.
Bedankt...voor de correctie. 1995 zat ik nog niet op Internet, 2001 deed ik NT4 en de kernel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.