Derfor udløser skjult NemID-kode virusalarm

Kører man McAfees Stinger-værktøj til scanning efter virus og har man været logget på en hjemmeside via NemID, så får man en alarm om, at værktøjet har fundet et ondsindet program.

Antivirusværktøjet reagerer på indholdet af en pakket fil, som bliver gemt på brugerens pc, efter han har været logget på med NemID.

Version2 har kontaktet sikkerhedsfirmaet CSIS, der har indvilget i at se på, hvorfor indholdet af den pakkede fil får McAfees værktøj til at reagere.

»Der er tale om en falsk positiv. Stinger har en ekstra følsom heuristisk scanner, fordi brugeren kører det under formodning om, at systemet er inficeret,« siger sikkerhedskonsulent Peter Kruse fra CSIS til Version2.

Ifølge Peter Kruse er der ingen af de øvrige antivirusprodukter, som reagerer på filerne, og McAfees almindelige antivirussoftware reagerer heller ikke på indholdet af NemID-filen.

Stinger er beregnet til, at en bruger kan hente programmet, hvis han har mistanke om, at hans pc er inficeret. Det kan eksempelvis være i et tilfælde, hvor et ondsindet program er sluppet forbi den almindelige antivirusscanner, og derfor er Stinger beregnet til at lægge ekstra vægt på programkode, som virker mistænkelig.

Filen, som lægges på brugerens pc af NemID's Java-applet, indeholder da også flere af de ting, som antivirusscannere holder øje med.

Det første advarselsflag hejses, fordi NemID-filen indeholder fire filer, som er camoufleret som GIF-billedfiler, men reelt er programfiler til Windows, Unix og Mac.

Java-appletten til NemID er signeret af sikkerhedsgrunde, så den blandt andet får mulighed for at kunne gemme filer lokalt på brugerens pc, men de fire programfiler, som ligger skjult i den lokale fil, er ifølge Peter Kruse ikke signeret.

»Der er en årsag til, at malware som Duqu og Stuxnet var signeret,« siger Peter Kruse.

En gyldig digital signatur af en ukendt fil tæller positivt i antivirussoftwarens vurdering af troværdigheden, og derfor blev det brugt i Stuxnet-ormen, hvor bagmændene havde stjålet certifikater fra anerkendte hardwareproducenter.

Næste alarmklokke ringer ved scanningen af NemID-filen, fordi selve programkoden indeholder nogle bestemte systemkald, der eksempelvis tjekker, om programmet kører i debugging-tilstand. Hvis det er tilfældet, skal programmet stoppe.

»Det er også noget, man typisk ser i skadelig kode, fordi de ikke vil have, at antivirusfirmaerne laver reverse engineering for at analysere koden. Det er en helt klassisk ting, som antivirusscannere kigger efter,« siger Peter Kruse til Version2.

Han understreger, at der ikke er noget, der tyder på, at filerne indeholder noget skadeligt. Den skjulte programkode ser heller ikke ud til at sende information fra brugerens pc til en ekstern server.

Peter Kruse ønsker ikke at kommentere, hvorfor DanID kan have valgt at designe systemet på denne måde, men påpeger, at man kunne undgå sådan en falsk virusalarm ved eksempelvis at gøre filerne sessionsbestemte, så de kun ligger på brugerens pc, mens brugeren er logget ind med NemID.