McAfee advarer om virus i NemID
Får man et ondsindet program med i købet, når man logger på med Nemid? Sådan kan det i hvert fald se ud, hvis man kører McAfees antivirus.
En læser har gjort Version2 opmærksom på, at man på hans arbejdsplads var blevet bedt om at køre McAfees Stinger-værktøj, fordi der var fundet et ondsindet program i den mappe på pc'en, som bruges til login med Nemid.
Version2 har kørt den samme scanning med den nyeste version af Stinger og har ligeledes fået en advarsel fra McAfees program om, at der er fundet "Heuristic.FakeAlert trojan" i de filer, som Nemids Java-applet gemmer lokalt på brugerens pc.
For at udløse alarmen, skulle vi dog først slette de JAR-filer, som lå i forvejen og logge på igen på login.sikker-adgang.dk.
En JAR-fil er en pakket fil, som bruges til at distribuere en Java-applet og indeholder blandt andet de billeder, som bruges af appletten. Alarmen fra McAfee opstår netop ved scanningen af JAR-filerne, hvor der ligger to billedfiler "large.gif" og "pause.gif", som McAfee identificerer som et ondsindet program.
Danid lagrer en lokal kopi af filerne til Java-appletten i mappen C:\Users\brugernavn.oces2\danid\plugins\ og den JAR-fil, som udløser McAfees alarm, er filen "DanID_Applet.jar". Filerne bliver gemt lokalt, så brugeren ikke ved hvert login skal hente en kopi af appletten fra serveren.
Det program, som McAfee angiveligt finder, er ud fra de tilgængelige oplysninger en trojaner, som kan vise brugeren en falsk virusalarm for at forsøge at lokke brugeren til at downloade og betale for et falskt antivirusprogram.
Alarmen udløses dog af en heuristisk genkendelse. Det vil sige, at der ikke er tale om en præcis identifikation af et kendt ondsindet program. Derimod er det en algoritme, som forsøger at genkende en bestemt type ondsindet program ud fra nogle generelle egenskaber.
Derfor er det sandsynligvis en falsk positiv, altså en falsk alarm, fordi den heuristiske algoritme forveksler en harmløs gif-fil med en ondsindet fil, fordi den harmløse fil har nogle karakteristika, som passer med de egenskaber, algoritmen leder efter.
Danid oplyser til Version2, at selskabet vil undersøge sagen. Version2 har også kontaktet McAfee for en kommentar.
Kommentarer (32)
.... men det afholder jer "heldigvis" ikke fra at blæse det op til en stor forsidehistorie inden i ved noget.
hvem var det der sagde at v2 begyndte at ligne eb journalistik - jeg er efterhånden enig.
-
21 -
14
Det er dog helt utroligt. Det er som om Version2 gør alt for at finde noget som bare kan signalere negative forhold ved NEMID - også selv om det med stor sandsynlighed også her er en 'falsk positiv'. Magen til EB journalistik skal man dog lede længe efter.
-
7
-
21
Det er et kendt EB trick at sætte et spørgsmålstegn efter overskriften. Så har man sin ryg fri :)
-
10
-
3
De nævnte filer ER suspekte; de kan ikke vises med en GIF viewer (og nu håber jeg ikke, at jeg netop har inficeret min pc). Det samme gælder "error.gif" og "logo2.gif".
-
18
-
2
Der er åbenbart nogle DanID proselytter der er blevet stødt på manchetten.
Det er da godt, at V2 som det eneste medie herhjemme, og med teknisk indsigt, bliver ved med at bore i det eksorbitante makværk der går under betegnelsen "NemID"
De herrer mener måske også at fagpressen heller ikke må bore i fadæser som IC4, rejsekortet, storebæltbroen, den digitale tinglysning osv. osv.
-
25
-
8
For at udløse alarmen, skulle vi dog først slette de JAR-filer, som lå i forvejen og logge på igen på login.sikker-adgang.dk.
Og det betyder vel at "large.gif" og "pause.gif" nyligt er ændrede. Er dette noget, som I der bruger nemid har lagt mærke til?
-
4
-
1
Ligger problemet her ikke i den sammenhæng der er imellem de systemkald et rootkit andvender for at tage fuld kontrol og de kald et DRM eller antivirus laver for at tilsidegå hvad adgang OS måtte give til data?
Problemet er her nok igen danid's virtualle PKI model hvor man realt overføre data det i en korrekt implementering aldrig nogen sinde skal forlade en HW token og derfor skal have sikret at danid appletten har fuld ubegrænset kontrol over brugerens PC noget man ellers kun ser i rootkits og DRM systemer.
Nårmalt vil DRM og antivirus apps værre whitelistede af AV firmaernes filtre men det er sikkert ikke tilfældet med danid's applet.
Selvom det er lidt underligt at det er et par gif filer der udløser fejlem men måske det skyldes en tidligere whitelisting uden de opdaterede gif'er.
-
1
-
1
Jeg har nu ændret overskriften. Der var dog efter min mening fuld dækning for den tidligere "Er NemID-applet inficeret med virus?", da et anerkendt antivirusfirma påstår netop dette.
Version2 forfølger i øjeblikket flere interessante spor i sagen, så det sidste punktum er næppe sat.
Mvh Morten K. Thomsen, redaktør Version2.
-
12
-
1
"large.gif" og "pause.gif" ER executables - de starter med en standard MS-DOS header! ("error.gif" og "logo2.gif" gør ikke).
Se fx: http://en.wikibooks.org/wiki/X86_Disassembly/Windows_Executable_Files#MS...
-
13
-
0
Ja, kan vi ikke lade debatten om overskrifter ligge? Så lover jeg snarest at skrive et blog-indlæg om vores tilgang til overskrifter, og hvordan vi tænker om den. Så kan vi tage debatten der i stedet for.
Mvh Casper, Version2
-
9
-
0
De nævnte filer kan åbnes direkte i Dependency Walker, hvis man vil se afhængighederne. Der ser blandt andet ud til at være afhængigheder af diverse kernel- og kryptografi-biblioteker.
http://dependencywalker.com/
-
6
-
0
"error.gif" har en ELF header og må så være en Unix executable.
http://sco.com/developers/gabi/1998-04-29/ch4.eheader.html
http://en.wikipedia.org/wiki/Executable_and_Linkable_Format
-
6
-
0
"logo2.gif" starter med en Mach-O/Java bytecode header - den klassiske "0xCAFEBABE".
-
4
-
0
Mon ikke det er et JNI DLL til KeyStore-provider understøttelse af "My Certificate Store" (via CryptoAPI), nødvendigt for at understøtte OCES certifikater, svarende til MicrosoftCryptoApiXXX.dll i OpenOCES?
Bare forklædt som GIF, for at snøre de simpleste scannere, velsagtens, fordi et DLL ser suspekt ud.
Kunne man snart få lov at se kildekoden til NemID, eller bliver den tvivlsomme sikkerhed derved for åbenlys?
-
7
-
0
Der er åbenbart nogle DanID proselytter der er blevet stødt på manchetten.
man kan vel også stille spørgsmål om du ikke også er, "stødt på manchetten", når du nu skal køre korstog hver gang nemid er nævnt ;o) din lille kamp mod vindmøllerne?
-
2
-
14
fra large.gif
"This program cannot be run in DOS mode." :)
Såfremt dette er meningen kunne DanID undgå den negative omtale ved fuld åbenhed.
-
5
-
0
Det er dog helt utroligt. Det er som om Version2 gør alt for at finde noget som bare kan signalere negative forhold ved NEMID
Gif filer, der i virkeligheden er executables. Det finder du ikke er et negativt forhold? Hmmm .... hvis du lige venter et øjeblik eller to, så har jeg et fantastisk tilbud til dig, et kæmpe tårn af stål placeret midt i Paris, du får det til en billig penge.
Jøsses
-
10
-
1
Det er lidt underligt at anvende .gif extension for kodefiler, når
file programmet på linux genkender filerne sådan:
error.gif: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, not stripped
pause.gif: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit
logo2.gif: Mach-O fat file with 3 architectures
large.gif: PE32+ executable for MS Windows (DLL) (GUI) Mono/.Net assembly
In 1999 ELF was chosen as the standard binary file format for Unix and Unix-like systems on x86
Under NeXTSTEP, OPENSTEP and Mac OS X, multiple Mach-O files can be combined in a multi-architecture binary.
The PE32 format stands for Portable Executable 32-bit, while PE32+ is Portable Executable 64-bit format.
Der er formentlig tale om kodefiler, som anvendes til at binde java appletten til de forskellige operativsystemer. Der er i det mindste i pause.gif filen referencer til java Wuddlecake klassen, som er i Wuddlecake.class filen.
-
13
-
0
Wuddlecake er del af obfucated som gør deres java svært at pille fra hinanden.
java_dk_danid_plugins_wuddlecakes_d som ekspoteres fra de 4 binar blobs der, indeholder kald til at trække mac address, computer navn og ligende.
Og ihverfald i ELF version som ikke er stripped kan man se aes256,HMAC_sha256,sha256. Men hvorfor det skulle være nødvendigt at implementer den slags i native kode, er mystisk.
-
6
-
0
Er der nogen, der kan give et fornuftigt bud på, hvorfor NemID appletten kunne have behov for at køre et native program på brugerens computer? Kan det bruges til at øge sikkerheden, kan det være en simpel måde at løse et implementeringsproblem, eller er der en anden mulig forklaring, der om ikke retfærdiggører så forklarer, hvad de har tænkt?
-
9
-
0
Fordi de har drukket af natpotten?
(Eller mere sandsynligt fordi, at de er så inkompetente som vi alle går og frygter)
Hvis de endnu engang prøver og kvæle en historie med henvisning til, at de er nød til at holde deres arkitektur skjult for ikke, at kompromitere sikkerheden, så er der altså snart nogen der må dele håndmadder ud til de ansvarlige.
-
10
-
0
Hvis jeg disekerede en "ond" java applet, ville ting som maskering af native kode i .gif-filer helt klart være på checklisten.
"Hvorfor" er et rigtigt godt spørgsmål, som V2 forhåbentlig forsøger at stille, hvis ellers ikke V2-journalister er røget i bad standing allerede. Så det bliver muligvis svært at finde nogen, der fra officielt hold vil "bidrage med flere elementer" til denne debat ... ;)
-
8
-
0
Er det ikke et spørgsmål om, at få flere virusscannere til at fange den? Hvis først > 50% af danskerne får en virus alarm, så er de nød til at komme ud af busken.
Kan man ikke anmelde viruser og potentielle rootkits hos AV leverandørene?
-
6
-
0
Hvilke værktøjer benytter i til at identificere filernes eksekverbare format?
"file"-kommandoen fra Unix/Linux er den mest ligefremme. En Windows-udgave kan hentes her:
http://sourceforge.net/projects/gnuwin32/files/file/5.03/
-
5
-
0
En stor del af grundlaget for at vi skulle til at benytte SlemId var, at "så bliver det så nemt at logge ind fra en hvilken som helst computer".
Dette argument blev gentaget i en uendelighed, også efter at der var stillet spørgsmålstegn ved DanId's krav om, at man som bruger skulle garantere at f.eks. bibliotekets pc var udstyret med den nyeste opdatering af antivirus.
På den baggrund undrer det mig, at DanId har fundet det nødvendigt at udstyrer alle opkoblede computere med følgende:
Citat"Danid lagrer en lokal kopi af filerne til Java-appletten i mappen C:\Users\brugernavn.oces2\danid\plugins\ og den JAR-fil, som udløser McAfees alarm, er filen "DanID_Applet.jar". Filerne bliver gemt lokalt, så brugeren ikke ved hvert login skal hente en kopi af appletten fra serveren."citat slut.
Spørgsmålet er om DanId bare fik en fiks ide til en salgskampagne og om de i såfald har overtrådt markedsføringsloven?
Er der ikke nogle af forummets regelnørder, der kan opsnuse noget mere om dette?
Mvh Lars plbrake.dk
-
3
-
0
Tilføj kommentar
