News CCleaner: Hacker haben Software auf Firmen-Server manipuliert

Eigentlich nicht, weiß nicht was der IT-Experte hier mit seinem System macht, aber meine laufen seit Ewigkeiten wunderbar und das ohne ständiges Neuinstallieren. ;)
 
So langsam finde ich die Richtung in die sich das entwickelt sehr beängstigend. Ich bin mir zwar ziemlich sicher, das diese Methode seit Jahren gang und gäbe ist, die Rechner auszuspionieren, aber es hat einfach schlicht und ergreifend keiner mitbekommen, oder es hat niemanden interessiert.
Im Grunde telefoniert alles was auf dem Rechner installiert wird irgendwohin. Es ist für den "normalen" Benutzer überhaupt nicht mehr nachvollziehbar was mit wo oder wem kommuniziert. Allein wenn der Rechner neu installiert ist, und ich mir die Verbindungen die in Glasswire getrackt werden ansehe, bekomme ich das kalte grausen. Hier im Forum bin ich bestimmt nicht allein, der noch einen Squid o.ä. laufen hat, aber das kann man von den Usern nicht erwarten. Rein darf erst mal nix und raus nur der Standard... Aber trotzdem ist man nicht wirklich geschützt... Ich finde das extrem frustrierend...
 
Einhörnchen schrieb:
Nicht nur deine Meinung. c't hatte das auch mal getestet und kam zum gleichen Schluss wie du ;)

Nichts passiert?
- ein Hersteller-Unternehmensserver, der Software verteilt wurde manipuliert
- der ganze Zertifizierungsprozess wurde manipuliert
- keine Schutzsoftware, bis auf eine, hat nur ansatzweise einen Verdacht geschöpft
- das Vertrauen, auch zu anderen Unternehmen, ist erstmal wieder hinüber
reicht das nicht?
 
Domingo2010 schrieb:
Was ist an Avast verkehrt?
Das sind Betrüger und jetzt sind sie auch noch unfähig.
Nach dem Fund von Schadsoftware durch deren freien AV-Scanner haben sie behauptet, dieser könne den Schädling nicht entfernen - dafür müsse sich der AW die Vollversion kaufen!
 
TP555 schrieb:
Re

@Gelbsucht

SHA1 wurde geknackt , von MD5 weiss ich nix soweit !.

Bei md5 gab es bereits 2004 eine Kollision.... Das kann heutzutage jeder PC in Sekunden berechnen
 
Bei der Nachricht vom Heise-Verlag ("Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht ") kann einem direkt wieder bewusst werden warum man den CCleaner benutzt.

Die IndexedDB wird (bei allen Browsern) seit Version 5.03 gelöscht.
 
So schlecht ist der CCleaner nicht.
Aber schon interessant was alles passieren kann, und wer weiß wie oft sowas passiert ?!
 
Könnten die Herren vorher mir erklären, warum ein Offlineinstaller besser / sicherer ist als ein Downloader?

Tut mir leid, ich sehe da bei bestem willen keinen Sicherheitsvorteil. Beide machen das gleiche, das Problem wird doch nur verschoben.
Insbesondere bei diesem Fall waren doch auch die FullInstallation betroffen?

Vielleicht kann mich ja jemand erleuchten, aber meiner Meinung nach ist beides gleich sicher / unsicher.

Zugegeben, ich habe die Überprüfung der nachgeladenen Dateien nicht in meiner Hand.
Andererseits macht das der reguläre User sowieso nicht, aber bei einem Großkonzern erwarte ich dann wenigstens eine Überprüfung der Quelle und der Daten. Für diese User ein kleines Stück mehr Sicherheit, solange der Loader nicht kompromittiert ist.
 
Zuletzt bearbeitet:
vampy2k schrieb:
Das Tool kann doch sowieso fast nix. Am besten man schreibt sich selber eine batch. In der Datei dann alle cache/temp Verzeichnisse des jeweiligen zu löscheden Programmes hinterlegen.
Ab damit in den Autostart und gut.

Gut dass jeder weiß, wo welches Programm Caches und temporären Dateien so versteckt und welche Arten und Kategorien es überhaupt für jedes einzelne Programm gibt.



Cokocool schrieb:
Bei md5 gab es bereits 2004 eine Kollision.... Das kann heutzutage jeder PC in Sekunden berechnen

Wie sieht sowas eigentlich aus, wenn da nochn Salt mit drin ist? Sowas mit MD5 ist ja auch heute noch weit verbreitet.
 
Zuletzt bearbeitet:
mit den aktuellen ESET definitionen wird die betreffende CCCleaner Version Detectet, kann ich bestätigen :)
 
Laut dem Artikel von motherboard wurde die Software schon vor dem upload auf den Server kompromittiert, also spästens während des Build-Prozesses:

"Given the presence of this compilation artifact as well as the fact that the binary was digitally signed using a valid certificate issued to the software developer, it is likely that an external attacker compromised a portion of their development or build environment and leveraged that access to insert malware into the CCleaner build that was released and hosted by the organization," the Cisco Talos researchers said in a blog post.

Vor ca. fünf Jahren habe ic CCleaner selber benutzt und auch regelmäßig weiter empfohlen. Ich wusste gar nicht, dass Piriform mittlerweile zu Avast gehört.
 
Zuletzt bearbeitet:
Re

Mac_Leod

Dann erstelle doch bitte mal Hashwerte , und gib auch die Datei grösse an , und um welche version es sich vom CCLEANER handelt !

mfg.
 
Zuletzt bearbeitet:
Was immer wieder ungeachtet bleibt. Die Berechtigung, mit der in Windows gearbeitet wird.
Natürlich mit admin. Rechten, denn man will ja die Kontrolle übers System haben.
... The malware then checks to determine the privileges assigned to the user running on the system. If the current user running the malicious process is not an administrator the malware will terminate execution. ...
... Die Malware prüft dann die Berechtigungen, die dem Benutzer zugewiesen sind, der auf dem System ausgeführt wird. Wenn der aktuelle Benutzer, der den schädlichen Prozess ausführt, kein Administrator ist, wird die Malware die Ausführung beenden. ...
http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html
Der blog beschäftigt sich ja offensichtlich sehr ausführlich mit dem Thema.
 
Re

Ah 7MB soll die Mod. Datei gross sein , im Vergleich zum Original mit 9MB.

mfg.
 
klopogo schrieb:
wat ne schande für Kaspersky als angeblich bestes av
Guter Witz!

Sepp Depp schrieb:
Macht jetzt auch nicht soviel Sinn Virustotal-Ergebnisse zu posten nachdem die Meldung raus ist. Die 5.33 wurde seit Mitte August verteilt. Gehen wir nun ein paar Tage in die Vergangenheit:
So gut wie alle haben nix erkannt. :lol:
Mach denen doch nicht ihre einfältige Friede-Freude-Eierkuchen-Welt kaputt^^
 
Zuletzt bearbeitet:
TP555 schrieb:
Re

Mac_Leod

Dann erstelle doch bitte mal Hashwerte , und gib auch die Datei grösse an , und um welche version es sich vom CCLEANER handelt !

mfg.

was genau brauchst du?

die Console sieht so aus:
eset_console.JPG

Problem ist, das es das File nicht mehr gibt, kann ich dir keinen Hash erstellen. Ins Backup zu schauen dafür hab ich gerade keine Zeit.
Die Version 5.33 war installiert
 
Zuletzt bearbeitet:
Re

Hash Werte z.b. SHA 256 384 512 , SFV.

Nicht nur ich kann diese werte gebrauchen , sondern auch viele hier im Forum.

Aber wir wissen ja , das die infizierte datei 7MB ist , das Original 9MB.

Das nur der 32Bit installer Modifiziert wurde , könnte ein Trick sein , das das Originale Zertifikat geblieben ist , weil mann es ja unter einem 64Bit OS unter den Eigenschaften abruft, vlt würde der TAB komplett fehlen unter einem 32Bit OS.

mfg.
 
cbtestarossa schrieb:
Nee CCleaner dient in erster Linie wie der Name schon sagt zum reinigen.
Da wird nix optimiert.
https://de.wikipedia.org/wiki/CCleaner Erster Satz:
CCleaner (früherer Name Crap Cleaner)[5] ist ein kostenloses Programm zur Optimierung für die Betriebssysteme Windows, macOS und Android.
Letztlich ist das sowieso aber doch nur Haarspalterei. Die Reinigung ist eine Form der Optimierung. Vielleicht kann man bei manchen Spezialfällen von besonders großen und vielen temporären Dateien noch mit Gewinn von Speicherplatz argumentieren, aber spätestens beim Löschen überflüssiger Einträge aus der Registry der Punkt erreicht, wo der gewonnenen Speicherplatz niemanden interessiert, sondern man das vor allem in der Hoffnung einer Verbesserung (=Optimierung) der Performance macht.
 
Crumar schrieb:
Könnten die Herren vorher mir erklären, warum ein Offlineinstaller besser / sicherer ist als ein Downloader?

Sicherer im Sinne von:
Du hast schon alles im Installer was benötigt wird. Es braucht nichts nachgeladen werden.
Du hast auch eventuell eine Checksumme vom Installer.
Und ein FullSetupInstaller sollte auch gar nicht ins Internet müssen. Warum auch.

Und was wenn DNS auch manipuliert wurde DNSsec dümpelt z.b. vor sich hin
Und was wenn kein HTTPS/TLS etc verwendet wird?
Es gibt dermaßen viele Angriffspunkte.

Es geht auch vorranging gar nicht um den CCleaner sondern darum dass der normale Anwender sowieso mit dem Ganzen überfordert ist und darauf vertraut dass die Firmen alles richtig machen.
Tun sie aber scheinbar nicht und wenn doch gibt es trotzdem Exploits in Software und Servern.
Lest mal nach wer schon alles gehackt wurde. Sogar "Sicherheitsfirmen" die es besser wissen müssten.

Oder Router die nie Patches bekommen und deren Firmware teilweise von Haus aus ein Supergau ist.
Dann noch die ganzen Begehrlichkeiten von Firmen, Diensten und Staaten.
 
Zuletzt bearbeitet:
Zurück
Oben