Se om du har fået NemID-trojaneren: Usynlig for antivirus

Jesper Stein Sandal glemte at skrive på hvilket OS infektionen finder sted, men at dømme efter det screenshot der er af trojanerens popupvindue, så er det Windows, som det plejer at være med den slags! Ikke MacOSX, Linux eller nogen form for Unix.

... det sorterer bare de dummeste kriminelle fra.

Jeg var personligt forhåbentligt ikke faldet for det vindue i screenshottet - det ligner jo ikke en NemID login-dialog. Selv om de sagtens kunne have lavet en der lignede lige så godt som i Version2's demonstration.

Det at den i modsætning til den rigtige dialog bliver vist som et overlay, med siden bag ved grået ud, forstår jeg heller ikke. De kunne jo sagtens editere/erstatte html-siden som den rigtige dialog var på, og så sætte deres dialog ind i stedet.

Nej, det gør antivirus ikke, så længe OS'et ikke har en anstændig sandboxing funktion. Og så forresten: Skulle AV scanneren ikke finde hidtil ukendte vira med sin heuristiske funktion?

Hvorfor bruge tid på at efterligne originalen, når man kan svindle 8 personer for 700.000 kr med ovenstående. Hvis jeg skulle lave det svindelnummer, ville jeg i hvert fald ikke bruge tid på det, når det ikke er nødvendigt.

...opnås p.t. med Firefox 10. Her vil den ægte udgave af NemID crashe hele browseren. Testet med OpenJDK.

Øhh... det beskytter da intet. Det er jo netop ikke den ægte udgave, som er blevet brugt til angrebene.

Det er helt forkert at bruge virus scannere. (da de på forhånd skal kunne genkende en malware på dens signatur.Altså kan den ikke genkende alle de nye og farligste malware)

En seriøs måde at gøre det på er: forskellige rettigheds niveauer til brugerne/ sandkasser / API begrænsning.

Jeg påstår ikke at LINUX er garanteret sikkert. Men måden det gøres på de fleste Windows maskiner er garanteret usikkert!. ;-)

Se om du har fået NemID-trojaneren: Usynlig for antivirus,ja og hvor ser m<n det og hvordan? måske iden øverste skuffe i køkkenbordet!

@Benjamin

java version "1.6.0_23"
OpenJDK Runtime Environment (IcedTea6 1.11pre) (6b23~pre11-0ubuntu1.11.10.1)
OpenJDK 64-Bit Server VM (build 20.0-b11, mixed mode)
Feb 20, 2012 12:35:56 PM <WARN> DANID_DIGITAL_SIGNATUR appletdk.pbs.applet.bootstrap.new - Not using whitelisted class classloader: net.sourceforge.jnlp.runtime.JNLPClassLoader
Feb 20, 2012 12:35:56 PM <INFO> Thread-4 - init
Assertion failure: rt->onOwnerThread(), at /build/buildd/firefox-10.0.2+build1/build-tree/mozilla/js/src/jsapi.cpp:6316

Altså en fejl i Firefox 10.

Du kan downgrade din firefox til en tidligere version, der virker det, eller bruge eks Chromium.

Eller installere den proprietære Oracle Java i din ubuntu, så virker den fint med FF10

Hej Nikolaj Hansen. Jeg ved ikke, hvordan du ræsonnerer, men jeg kan ikke se, hvordan ovenstående stacktrace viser, at der er en fejl i Firefox. Det kan jo sagtens være NemID, der har en race-condition, som betyder, at en assertion på tilgangen til et objekt ulovligt sker fra en anden tråd. Altså, selvom Firefox ikke er fejlfri, er det endnu lidt svært at sige, hvor fejlen ligger.. men NemID burde selv have ansvaret og skrive det under deres driftsforstyrrelser, så menige brugere kan få nem adgang til vejledning og ikke behøver spilde tid med at undersøge deres egen platform.

Det er korrekt, at det virker i Chromium med selvsamme OpenJDK og IcedTea.

@Erik Jensen
Jo, det giver glimrende beskyttelse... hvis det ikke crasher, så ved du jo, at det er en fake udgave :)

Og hvordan ved vi med sikkerhed at værktøjet ikke blot er til for at installere en mere effektiv trojaner til senere brug?

@Benjamin

Det er en fejl i Firefox:

https://bugs.launchpad.net/ubuntu/+source/firefox/+bug/928843.

Jeg har mere tillid til Peter Kruse end jeg har til DanID.

ja så er vi da enig jesper os to jeg har lige kørt alt igennem og forkun et stort smil frem på min pc

Hvis nu man i stedet prøver at lærer folk hvilke typer at mails de kan stole på samt hvorvidt de må klikke på links i mails osv osv, så skulle man måske bare lærer alle at bruge én fælles hjemmeside til at få adgang til alt offentligt (www.danmark.dk) men derudover også ting der relaterer sig til fx NemID.

Så ved folk altid hvor de skal finde deres adgang til den slags ting, og hoax mails mv vil blive fortid.

Det vil ikke stoppe alt, men det vil da stoppe den del hvor folk bliver narret til at klikke på links i mails, eller ramme forkerte hjemmesider via google, hvilket lader til at være de primære angrebsveje.

Øh har du overhovedet sat dig ind i hvordan angrebet mod DDB blev foretaget?

Angrebet har ikke noget med link i emails eller een fælles hjemmeside at gøre, så vidt jeg da kan forstå. CSIS skriver på https://csis.dk/da/private/banktexeasy/ "at bankkunden har besøgt en legitim hjemmeside, der har været hacket." Altså ingen link i email eller besøg på obskur hjemmeside. Desuden hvis der er tale om et popup-vindue igangsat af en trojaner under login hjælper det ikke nødvendigvis med een fælles login-side. Det springende punkt er om brugeren kan detektere og forstå at popup-vinduet ikke har relation til hans normale indlogning. Det hjælper een fælles hjemmeside nok ikke på. Det gør vel det snarere nemmere for den kriminelle at hans trojaner kun skal holde øje med at kunden tilgår en bestemt webside.

Selv programmet der skal forhindre virus, er kun til Windows... :)

Jeg kan godt se min kommentar ikke lige passer til beskrivelsen i den pågældende artikel. Jeg er nok faret lidt vild i de mange NemID artikler. Men jeg mener stadig der kan være noget forebyggende i det jeg beskriver (som relaterer sig mere til en af de andre artikler).

ahh flemming måske folk skulle lære sig selv at stole på deres eget indstinkt og så prøve at skriv s i deres søgning på google også skulle de også lære ikke at åbne e,mails som de tydligt kan se i deres mail kommer for en de ikke kender så ville det være godt men folk er desværre så godtroende jeg kender flere som blindt stoler på deres udbyder og deres eget antivirus pgr.

@Kim - Det er netop det jeg er inde på. Det er ikke alle der besidder sund fornuft i relation til netbrug, og uanset om folk er hjemmevant med IT eller ej, så vil der altid være nogen der ryger i fælden.

Jeg tror det er svært at få alle lært en "fornuftig" brug af mail og hjemmesider, og som vi kan se kan de nuværende metoder snyde selv garvede it-brugere. Mails kan have en falsk afsender som man ikke lige opdager hvis man ikke kigger nærmere efter.
I søgninger på google kan man også let komme til at klikke på et forkert link hvis adressen mindre tilstrækkelig meget om den rigtige.

Jo mere simpelt man kan gøre det for folk, desto mindre bliver risikoen for fejl.
Det kan være rigtigt at centralisering af fx. adgang til det offentlige bare giver bedragerne færre steder at skulle rette sine angreb mod, men til gengæld kan man også fokusere flere ressourcer til at overvåge disse centrale "knudepunkter".

Det er en Windows-virus, så alle vi der ikke anvender Windows har ikke noget at frygte. Og hvis man sandbox'er NemID i en virtuel maskine der kun anvendes til NemID har man heller ikke noget at frygte, selv om den virtuelle maskine skulle køre Windows.

Min sandbox kører ikke Windows og host-OS er ikke Windows. :-)

Mere optimalt at fortælle hvilken legitim side det drejer sig om.

På den måde kunne alle dem som IKKE har besøgt siden spare sig for at installere og scanne computeren.

Henrik Madsen

Hvem stoler man på ?

Når man nu ved, fra tidligere tråde her på V2, at Netz / DanID, selv benytter sig af skjult software på brugernes PC, så er det jo umuligt at stole på nogen.
Kan man ikke bare få at vide hvilken fil man skal slette ?
Det virker ikke betryggende, at skule hente et andet stykke software.

Hvorfor stilles denne mulighed til rådighed i Danmark ?

" CSIS beskriver på Facebook trojaneren som den absolut værste malware, han har set det seneste år. Programmet er ifølge Peter Kruse udviklet specifikt for at angribe de danske netbanker, som benytter NemID. "

Jeg forstår, at man angriber gennem NemID, simpelthen fordi det stiller så mange muligheder til rådighed.
Jeg kan også forstå, at der er tale om, at det med et sådant angreb er muligt, specifikt at gå efter Banker. Det underminerer grundlaget for NemID, der jo netop er udviklet med henblik på bl.a. Banker.

Noget andet er, hvad med alt muligt andet ?
Er der nogen som helst, der kigger på at alle mulige andre aktører, der benytter NemID i deres system, kan være angrebet.
Skat, Kommuner, Detailhandlen, osv, hvad skal de nu gøre ?
Er der allerede angreb i gang på dem, uden at man ved noget som helst om det ?

Gennerelt:
Teoretisk scenarie, som postuleret af DanID, er vi ude over.
Der er tale om et helt reelt scenarie.

Nu må det være noget som Netz/DanID, tager ansvarligt op, og simpelthen fjerner muligheden for den type angreb.

Det hjælper intet, at f.eks. Banker kan beskytte sig, hvis alle andre aktører, fortsat er udsat for denne usikkerhed i NemID.
Det er jo den forurettede forretningsdrivende, der skal betale, hvis systemet bliver misbrugt.
Det gælder naturligvis også for Bankerne, og de har demonstreret ansvarlighed.
Men det vil kunne ruinerer mange forretningsdrivende, og helt stille en given NemID bruger økonomisk ubeskyttet.
Derfor må man forlange, at Netz/DanID enten fjerner muligheden, eller dækker en hver udgift nogen må have ved anvendelse af NemID.

Man kan jo ikke både stille et system til rådighed for forbrydere, og samtidigt slå ud med armene, og sige det ikke er deres bord, når systemet bliver benyttet til kriminalitet.

Nu må de vælge, enten kan de levere et sikkert system, eller også kan de ikke.
Set ude fra, er der INTET der tyder på, at de kan leverer et sikkert system. Der er ikke engang noget der beskriver, at der er noget på vej, eller vilje til at leverer en sikker løsning.

Jeg er voldsomt træt af at skulle hakke på Netz/DanID, og se hvordan andre brugere tilsvarende er utrygge ved NemID.
Det kan ikke passe, at man gennem simpelt misbrug af den magt man er tildelt, kan få lov til at fortsætte på den måde.
Regner de med, at bare de bliver ved længe nok, med en løsning der ikke hænger sammen, så bliver det mere sikkert at benytte NemID, og alle bliver trygge og glade ?

Og du tror ikke at trojaneren findes på andre sider?

Hvorfor insisterer du på at stave det med Z?

Er jeg den eneste der har studset over at man i artiklen linker til en ikke-krypteret side hvor man kan download en executable som angiveligt skulle scanne om man har dårlig software på computeren?

Skulle man hos CSIS (hvem de så end er) ikke tage og sætte et certificat på sitet så man havde en smule føling med, om det var endnu et hacker site eller nogen der (igen) prøver at kaste dårlig kode mod mig?

Jeg stoler i hvert fald ikke på et site uden certifikat.

Hej. Der er flere der efterlyser hvordan/hvor ser jeg/man om man er blevet
ramt ? Der fortælles: " se her om du har fået den " - så klikker man for at se ! ?
Venligst Bjarne Aakesen

Og hvad ser du så?

Skal du holdes i hånden i IT-sammenhæng, så du befinder dig på et site for IT-professionelle...?