  |
Za poslednú hodinu: 16 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Piatok, 19. apríla 2024, dnes má meniny Jela |
|
Avast sa mýlil, infekcia CCleaneru je oveľa vážnejšia. Prestrelka s Ciscom
bezpečnosť
Incident a pôvodná verziaAko sme upozornili v pondelňajšom a utorňajšom článku, Piriform ponúkal takmer mesiac od 15. augusta do 12. septembra z oficiálnych serverov infikovanú verziu inštalátora CCleaner 5.33.6162 a tiež infikovanú verziu CCloud Cloud 1.07.3191.V inštalátore bol infikovaný priamo inštalovaný spustiteľný súbor CCleaneru, pričom infekcia sa týka podľa Avastu iba 32-bitových verzií Windows. Na tom odkiaľ užívateľ stiahol inštalačný súbor nezáležalo, podľa informácií Avastu pre DSL.sk všetky stránky distribuujúce CCleaner ponúkali rovnaký infikovaný inštalátor. Podľa Avastu bolo incidentom postihnutých 2.27 miliónov užívateľov.
Škodlivý kód v CCleaner kontaktoval server pod kontrolou útočníkov a mohol z neho stiahnuť a spustiť ďalší škodlivý kód. Spoločnosť Avast ale pôvodne tvrdila, že podľa jej zistení vychádzajúcich z analýzy infikovaných počítačov sa žiadny ďalší škodlivý kód na počítače nestiahol. Podľa pôvodného odporúčania Avastu je tak postačujú, ak užívatelia s infikovanou verziou CCleaneru jednoducho nainštalujú novú neinfikovanú verziu 5.34. Ako sme upozorňovali v našich článkoch, toto riešenie bez jasného potvrdenia stavu nemusí byť dostatočné a minimálne je odporúčané uskutočniť antivírusový sken systému. Ak sú na počítači citlivé informácie, užívatelia by mali zvažovať aj razantnejšie opatrenia. Upozornili sme tiež na odporúčanie bezpečnostnej divízie Talos spoločnosti Cisco, ktorá odporúčala jednoducho pre istotu buď obnoviť stav systému do stavu pred 15. augustom alebo Windows reinštalovať. Podľa informácií pre DSL.sk zo začiatku týždňa v tom čase ale nemala informácie potvrdzujúce zrealizovanie sekundárnej infekcie. Nové informácieOpodstatnenosť väčšej opatrnosti a potenciálna nedostatočnosť inštrukcií Avastu sa teraz potvrdila.Cisco a Avast dostali k dispozícii dáta zo servera používaného útočníkmi a tie potvrdzujú, že po nakontaktovaní servera škodlivým kódom prichádzalo k ďalšej infekcii. Tá bola ale podľa kódu zo servera z polovice septembra veľmi selektívna, pričom ďalší škodlivý kód bol posielaný len na infikované počítače z viacerých firiem, na ktoré útočníci cielili. Išlo o technologické firmy, napríklad aj samotné Cisco, Microsoft, Samsung, Sony, VMware, MSI, Google, D-Link, HTC, O2, Vodafone, Epson, Akamai. Databáza zároveň potvrdzuje, že len za štyri dni v septembri sa na server pripojilo 20 počítačov s dodatočnou infekciou. Avast z toho vyvodzuje, že ďalším škodlivým kódom mohli byť infikované minimálne stovky počítačov. Samozrejme sa nedá ani vylúčiť, že niekedy po začiatku infekcie 15. augusta prišlo k veľkej zmene a pred ňou boli infikované ďalším škodlivým kódom počítače masovo. Na druhej strane nové získané informácie na to nepoukazujú. Za škodlivým kódom bola podľa Cisca totiž pravdepodobne známa sofistikovaná hackerská organizácia respektíve skupina označovaná Ciscom ako Group 72, keď existujú zhody medzi použitým škodlivým kódom v tomto incidente a inom incidente pripísanom Group 72. Táto skupina cieli podľa Cisca na zaujímavé terče a firmy v USA, Japonsku, na Taiwane a v Južnej Kórei. Ak je za incidentom naozaj takáto skupina, tá by sa pravdepodobne nechcela prezradiť vážnejším masovým útokom na všetky infikované počítače aby incident neodhalila a nepripravila sa o možnosť útočiť na zaujímavé ciele. Na druhej strane sa to nedá stopercentne vylúčiť. Avast aj Cisco zverejnili čiastočnú analýzu ďalšieho doručovaného škodlivého kódu. Ten ale sťahoval znovu ďalší škodlivý kód už z iného servera a zatiaľ tak nie je jasné, čo skutočne robil. Prestrelka Avastu s CiscomIncident od začiatku sprevádza aj prestrelka Avastu s Ciscom, ktoré na incident upozornilo popri Avaste v pondelok.Cisco v pondelok informovalo, že infekciu detekovalo a nahlásilo ju Avastu. Netvrdilo, že Avast dozvedel o infekcii od neho, naopak informácie Cisca ukazovali na nezávislú detekciu incidentu. Cisco totiž podľa svojich informácií upozornilo Avast 13. septembra, ten už 12. septembra sprístupnil opravenú neinfikovanú verziu. V utorok Avast ale v tomto oznámení viackrát komentuje priamo alebo nepriamo Cisco. V informácii, ktorá vyzerá ako snaha bagatelizovať prínos Cisca respektíve vyvracať že incident identifikovalo Cisco, informuje, že na incident ho upozornila spoločnosť Morphisec a že verí, že Cisco bolo upozornené na incident touto spoločnosťou. Cisco v utorok doplnilo, že incident objavili Cisco a Morphisec v odlišných prípadoch. Avast ďalej informuje, že Cisco si domény využívané škodlivým kódom registrovalo skôr ako mal šancu si ich registrovať Avast. Hlavne ale Avast tvrdo kritizoval odporúčania, ktoré dávalo Cisco. V tomto prípade už Cisco nemenoval, vyjadril sa ale k odporúčaniam obnoviť systémy do stavu pred 15. augustom alebo ich reinštalovať. "Veríme, že to nie je nevyhnutné. Nepovažujeme obnovu postihnutých počítačov do stavu pred 15. augustom za nevyhnutnú. Z podobných dôvodov bezpečnostné spoločnosti väčšinou neodporúčajú zákazníkov reformátovať ich počítače po tom, ako bola na nich identifikovaná zraniteľnosť umožňujúca vzdialené spustenie kódu," uvádzal Avast. Po nových informáciách zase Cisco kritizuje predchádzajúce odporúčania Avastu, hoci ho tiež nemenuje. "Bohužial, bezpečnostné udalosti ktoré nie sú kompletne pochopené sú bagatelizované v závažnosti. To môže byť proti záujmom obetí. Bezpečnostné spoločnosti musia byť konzervatívne v ich radách predtým ako sú známe všetky detaily útoku, aby pomohli užívateľom sa uistiť, že sú naďalej chránení," uvádza Cisco. OdporúčaniaCisco po nových informáciách pochopiteľne nezmenilo svoje odporúčania a avizuje, že nové informácie len potvrdzujú jeho pôvodné odporúčania.Avast svoje odporúčania zmenil na podobné odporúčania, aké sme dávali od pondelka našim čitateľom. Individuálnym užívateľom odporúča samozrejme upgradovať na aktuálnu verziu CCleaneru, aktuálne už 5.35, a aby používali kvalitný antivírusový produkt. Síce tvrdí, že pre indivuálnych užívateľov trvá na svojom pôvodnom odporúčaní, informácia o používaní antivírusu je ale pridaná, z informácií pochopiteľne vypustil, že jediným škodlivým kódom je kód v CCleaner, a odporúčania Cisca už nekrizuje ako nepotrebné. Firmám Avast len hovorí, že ich reakcia môže byť odlišná v závislosti na ich IT politike. "V tejto fáze nemôžeme tvrdiť, že firemné počítače nemohli byť kompromitované, aj keď útok bol veľmi cielený," uvádza aktuálne Avast. Zosumarizovaním, vhodným riešením pre všetkých užívateľov je minimálne samozrejme sa zbaviť infikovanej verzie CCleaneru napríklad upgradom na novú 5.34 a uskutočniť detailný antivírusový sken systému. Ďalšie kroky sú na individuálnom zvážení užívateľov a závisia aj na tom, ako citlivé a dôležité informácie mali užívatelia na počítači a v sieti a aký je celkový prístup užívateľa alebo firmy k prípadnej infekcii. Pre bežných domácich užívateľov, ktorí bežne nereinštalujú svoj systém, sami by tak nespravili keby boli prípadne infikovaní vírusom alebo by to ani nezvládli, môže byť reinštalácia samozrejme príliš radikálnym odporúčaním a takéto odporúčanie tak zrejme nie je aspoň zatiaľ vhodným automaticky pre úplne každého. Užívatelia sa tak musia rozhodnúť sami, aké riziko tolerujú a aké riešenie zvolia. Zatiaľ ďalšia infekcia bežných domácich užívateľov vyzerá menej pravdepodobná, vylúčená ale nie je. Či pre zmenu cieľov alebo prípadné infikovanie cieľov, ktoré v skutočnosti neboli zamýšlanými cieľmi. Zatiaľ pre rozhodovanie užívateľov tiež ale samozrejme chýba dôležitá informácia, čo ďalší sťahovaný škodlivý kód robí. Bohužial zatiaľ nie je ani jasné, či bude táto informácia niekedy k dispozícii. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
