Как следует из сообщения компании Piriform (https://www.piriform.com/news/release-announcements/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users), разработчика популярной и широко используемой утилиты Windows CCleaner, обновление, которое на протяжении месяца было доступно для загрузки, содержит вредоносный код, отправляющий системные данные о компьютерах пользователей на сторонний сервер.
Угроза была обнаружена родительской компанией Avast, которая приобрела Piriform еще в июле этого года, и сообщается, что это была атака с применением новейших средств нападения.
Скомпрометированы две версии CCleaner:
- 32-разрядная версия CCleaner 5.33.6162;
- «облачная» версия CCleaner Cloud 1.07.3191.
32-разрядная версия CCleaner была доступна для конечных пользователей в период с 15 августа по 12 сентября, а «облачная» CCleaner Cloud — с 24 августа по 15 сентября. Первыми «чистыми» версиями CCleaner, которые следует использовать, являются версии 5.34 и 1.07.3214, соответственно.
После обращения Piriform в правоохранительные органы США сторонний сервер был закрыт. Только после этого, когда компания провела первоначальную оценку инцидента, информация о нем была опубликована. Заявление Piriform характеризует последствия нападения следующим образом:
- «Мы решили проблему быстро и уверены, что ни один из наших пользователей не пострадал».
- «Нападение могло спровоцировать передачу не представляющих большого интереса данных (имя компьютера, IP-адрес, список установленного программного обеспечения, активного программного обеспечения, список сетевых адаптеров) на сторонний сервер в США. Нет никаких признаков, указывающих на то, что на сервер были отправлены какие-либо другие данные».
- «После нашего обращения в правоохранительные органы США сервер был закрыт, прежде чем был нанесен какой-либо ущерб».
Неудивительно, что фразы, использованные в заявлении, тщательно подобраны, ведь компания должна поддерживать правовой статус. Признавая, что угроза имела место, представители компании добавляют, что общие последствия и риск для клиентов сведены к минимуму.
В другом заявлении, содержащем технические детали нападения (http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users), вице-президент по продуктам Piriform Пол Юнг приводит следующие сведения об источнике вредоносного кода и о том, как он проник в очередное обновление CCleaner:
«На данном этапе мы не хотим строить предположения о том, каким образом несанкционированный код появился в CCleaner, откуда пошла атака, как долго ее готовили и кто за этим стоял. Расследование продолжается. Мы благодарим лабораторию Avast Threat Lab за помощь и содействие в его проведении».
Пол Юнг также заявил, что компания принимает меры к тому, чтобы подобное нападение не повторилось: «Мы еще раз хотим принести извинения за неудобства, которые могли быть доставлены нашим клиентам; мы принимаем внутренние меры, чтобы подобное не повторилось и чтобы гарантировать вашу безопасность при использовании любого продукта Piriform».
Безусловно, после крупного нарушения безопасности данных пользователей компания должна принести извинения, однако эти два заявления противоречат друг другу. В одном из них говорится, что компания не желает строить предположения о том, что произошло, а в другом — что компания предпринимает внутренние шаги, чтобы подобное не повторилось.
Похоже, руководство компании хорошо понимает, как все произошло, но не в состоянии прямо сейчас озвучить все обстоятельства. Полагаю, что это отчасти связано с нежеланием влиять на ход расследования, а также отражает стремление сохранять надежную правовую основу в контексте ответственности.
Независимо от причин инцидент указывает на уязвимость взаимоотношений между пользователями и доверенным программным обеспечением. Лично я не отношусь к сторонникам утилит, использующих очистку реестра в качестве средства решения проблем Windows, так как от них, по-моему, больше вреда, чем пользы, в чем я неоднократно убеждался на примере систем, которые поддерживал в прошлом.
Однако многие пользователи предпочитают использовать CCleaner по тем или иным соображениям. Ссылаясь на данные исследования Talos Intelligence, Piriform в ноябре прошлого года заявила, что число настольных реализаций CCleaner каждую неделю увеличивается на 5 млн (http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html).
Это означает, что вредоносный код мог поставить под удар свыше 20 млн пользователей в период, когда взломанная версия CCleaner была доступна для загрузки. По данным Talos, скомпрометированные обновления CCleaner были подписаны действительным цифровым сертификатом, полученным Piriform от поставщика цифровых сертификатов Symantec.
Те, кто использовал скомпрометированную версию CCleaner, должны немедленно выполнить обновление до последней версии, доступной на странице загрузки CCleaner. На ваших системах уже должны быть запущены автоматические обновления как для 32-разрядного, так и для «облачного» варианта, но для большей уверенности все же стоит проверить номер версии.
Если ваша система использовала скомпрометированную версию CCleaner, разумно сделать откат к дате, предшествующей выпуску обновлений, содержащих вредоносный код, чтобы гарантировать устранение всех его элементов. и чистая установка Windows.
DeviceLock DLP — лидер рынка Device Control в Японии
Компания «Смарт Лайн Инк», российский разработчик программного комплекса DeviceLock DLP, предназначенного для предотвращения и мониторинга утечек данных, объявила о признании институтом MIC Research Institute продукта DeviceLock лидером японского рынка программных продуктов класса Endpoint Device/Port Control.
По результатам анализа продаж за три последних года (2015-2017) на рынке информационной безопасности среди решений, предназначенных для предотвращения утечек данных с персональных компьютеров, независимый институт экономических исследований MIC Research Institute, специализирующийся на маркетинговых исследованиях для таких клиентов, как Mizuho Bank, Sumitomo Mitsui Banking Corp., Bank of Tokyo-Mitsubishi, выпустил отчет Information Security Solutions Market Present and Future Outlook 2017 — Internal Leakage Prevention Solutions Edition.
Данный отчет отражает результаты опроса, проводившегося в период с 2015-го по 2017 год среди корпоративных потребителей рынка Японии. Он показывает, что программный продукт DeviceLock третий год подряд занимает первую позицию по объемам поставок среди продуктов класса Endpoint Device/Port Control — программных решений, предназначенных для контроля устройств и портов на персональных компьютерах в целях предотвращения утечки данных. По итогам трех лет доля DeviceLock на данном рынке составила более трети общего объема поставок — 38,9%.
Кроме того, крупнейший производитель корпоративных персональных компьютеров японская корпорация NEC (NEC Personal Computers) включила в комплект предустановленного программного обеспечения на компьютерах серий VersaPro и Mate OEM-лицензированный базовый компонент комплекса DeviceLock DLP, предназначенный для контроля периферийных устройств на компьютерах под управлением ОС Windows.
«Результаты независимого анализа, проведенного MIC Research Institute, подтверждают, что наши многолетние усилия по продвижению DeviceLock на одном из крупнейших рынков программного обеспечения в мире дают ожидаемый эффект, — заявил Ашот Оганесян, основатель и технический директор DeviceLock. — Учитывая скорое начало OEM-поставок нашего продукта с компьютерами NEC, мы ожидаем дальнейшего роста продаж комплекса DeviceLock DLP на рынке Японии и сохранения лидирующих позиций».