EFF: Aanval op CCleaner ondermijnt vertrouwen in software
De aanval op de populaire tool CCleaner waar aanvallers een backdoor aan een officiële versie toevoegden ondermijnt het vertrouwen van gebruikers in software, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Aanvallers wisten waarschijnlijk op 3 juli toegang tot de ontwikkelsystemen van ontwikkelaar Piriform te krijgen. Vervolgens werd er een backdoor aan een gesigneerde versie toegevoegd, die 2,2 miljoen keer werd gedownload.
De backdoor bleef een maand lang onopgemerkt. Volgens de EFF laat de aanval zien dat ontwikkelaars hun eigen ontwikkelomgeving moeten wantrouwen, zoals Mozilla doet, en met 'reproducible builds' gaan werken. Hierbij kan een derde partij controleren of de bestanden met de broncode overeenkomen.
"Het doel is om de interne en release-infrastructuur op zo'n manier te beveiligen dat geen enkele aanval, ook niet door een kwaadwillende actor binnen het bedrijf, onopgemerkt blijft", aldus Gennie Gebhart van de EFF. Ze stelt dat de impact van deze aanval verder gaat dan de 2,2 miljoen mensen die de besmette versie hebben gedownload. Het ondermijnt namelijk het vertrouwen van veel meer gebruikers in officiële downloadlocaties, updates en software in het algemeen.
Toch zijn dit soort 'supply chain' aanvallen zeldzaam en lopen gebruikers meer risico door hun software niet te updaten, aldus Gebhart. De EFF adviseert internetgebruikers dan ook om alleen vanaf betrouwbare, officiële locaties te downloaden en software-updates zo snel als mogelijk te installeren. Voor ontwikkelaars en softwarebedrijven is de aanval op CCleaner een herinnering dat ze elk onderdeel van hun logistieke keten moeten beveiligen.
Hiervan is in ieder geval de source open, zodat men zelf naar eventuele backdoors zou kunnen gaan zoeken.
Hiervan is in ieder geval de source open, zodat men zelf naar eventuele backdoors zou kunnen gaan zoeken.
Het gaat niet om dit specifieke geval maar om het algemene vertrouwen. Dit is gewoon een probleem met alle software van derden. Daarom is een systeem met een goed gecontroleerde app store veiliger.
Zo gek is EFF niet. Dank voor de bevestiging.
1. Makkelijk(er) te censureren
2. Beperkter aanbod/minder innovatie (b.v. als ontwikkelaar je verplicht moeten registreren / signing certificaat aanvragen / whatever)
3. Geen / minder vrijheid om als computer specialist aanpassingen te maken aan applicaties
4. Geen broncode? (al heb je dat bij MS ook niet snel in handen)
Voordelen zijn inderdaad: (afhankelijk van screening) de veiligheid, wellicht versimpeling van installatie/gebruik dus minder computer vaardigheden nodig voor eindgebruiker.
Wat mij met name stoort aan dit gebeuren is dat een AV ontwikkelaar zijn zaakjes niet op orde heeft. Als Mozilla een oplossing heeft, de reproducible builds, dan verwacht ik als "consument" dat ontwikkelaars van kritieke applicaties dit ook zeker hebben.
Kijk naar publicaties van o.a. Google Project0 / Tavis Ormandy / Steeven Sealey en er worden nog vele lekken ontdekt welke met een SDLC toch een stuk minder voor zouden moeten komen.....
qua software integriteit en ook op de generieke veiligheid van de infrastructuur speelt het een en ander.
De integriteit van de algemene infrastructuur wordt al een tijdje flink ondermijnd. Vanaf het begin is er iets losgelaten op het Internet, dat er qua veiligheid nog niet klaar voor was (Reich's Javascript-concept uit 1983) enz. enz. Dan is er de inherente onveiligheid door grote non publieke datagraaiers en wat bekend is geraakt van opzettelijke ondermijningsacties van staatsacteurs (als NSA, CIA e.d.). Nu de huidige certificaat ellende (Symantec versus Google in een gespeeld melodrama).
De huidige IT kaders zijn hier maar voor een klein gedeelte tegen opgewassen en doen wat ze kunnen. Meer rust in de tent komt er voorlopig nog niet, omdat bepaalde onveiligheid bevorderende partijen niet anders willen. Droevig, maar helaas maar al te waar, het blijft dus dweilen met alle kranen vol open.
Enige hoop is m.i. meer mensen die goed zijn opgeleid en met relevante kennis van zaken. In hoeverre ze een kans zullen krijgen valt ook nog te bezien. Sommige partijen kunnen ze wellicht missen als kiespijn.
qua software integriteit en ook op de generieke veiligheid van de infrastructuur speelt het een en ander.
Sorry voor de verwijderde post hierna. Even een slechte verbinding.
De backdoor bleef een maand lang onopgemerkt.
Als je iets toevoegt aan iets wat al gesigneerd is dan verandert de signature. Daar zijn ze jusit voor. Het lijkt me sterk dat geen van die 2.2 miljoen mensen de signature heeft gecontroleerd waardoor dit een maand lang onopgemerkt bleef.
Klinkt een beetje als een half verhaal dit
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html
Avast geeft nu ook een ander advies:
https://blog.avast.com/progress-on-ccleaner-investigation
Mijn advies:
Heb je ooit versie 5.33 geinstalleerd: Installeer je computer opnieuw en wijzig al je wachtwoorden.
Daarnaast mijn persoonlijk advies: gebruik geen CCleaner of Avast meer.
De backdoor bleef een maand lang onopgemerkt.
Als je iets toevoegt aan iets wat al gesigneerd is dan verandert de signature. Daar zijn ze jusit voor. Het lijkt me sterk dat geen van die 2.2 miljoen mensen de signature heeft gecontroleerd waardoor dit een maand lang onopgemerkt bleef.
Klinkt een beetje als een half verhaal dit
Denk je nu echt dat de grote massa gebruikers de signature controleert? Ze weten niet eens wat dat is. En de mensen die het wel weten en controleren downloaden software van de officiële bron schat ik zo in en niet van een site waar je allerlei software kunt downloaden. Iemand die een beetje verstand van zaken heeft gebruikt sowieso zulke onzinnige tools niet. Of die gebruikt MacOS of Linux o.i.d. waar je dit soort tools al helemaal niet nodig hebt.
Denk je nu echt dat de grote massa gebruikers de signature controleert?
Niet de grote massa, maar op 2.2 miljoen gebruikers verwacht ik er toch minimaal (iets meer dan) een paar.
En de mensen die het wel weten en controleren downloaden software van de officiële bron schat ik zo in en niet van een site waar je allerlei software kunt downloaden.
Waarop baseer je dat het probleem alleen op onofficiële sites was? Dat is niet aannemelijk aangezien het artikel meldt dat de aanvallers waarschijnlijk toegang gehad hebben tot de ontwikkelsystemen. Dat duidt er op dat ook de officiële bron compromised was.
En dan is het dus zeer onwaarschijnlijk dat het op zo'n groot aantal (2.2 miljoen) niemand is opgevallen.
Ik vermoed dus dat het artikel de situatie niet goed verwoord door te stellen dat ze iets hebben toegevoegd aan de gesigneerde versie. Waarschijnlijk hebben ze dit al toe kunnen voegen voordat het gesigneerd werd.
Zoeken naar "javascript reich" leverde overigens wel iets interessants op: ;-)
https://teropa.info/blog/2016/07/28/javascript-systems-music.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
