McAfee advarer om virus i NemID

17. november 2011 kl. 10:4432
Den Java-applet, som bruges til Nemid-løsningen, udløser en alarm om, at den indeholder en trojaner, når man scanner sin pc med McAfees antivirus.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Får man et ondsindet program med i købet, når man logger på med Nemid? Sådan kan det i hvert fald se ud, hvis man kører McAfees antivirus.

En læser har gjort Version2 opmærksom på, at man på hans arbejdsplads var blevet bedt om at køre McAfees Stinger-værktøj, fordi der var fundet et ondsindet program i den mappe på pc'en, som bruges til login med Nemid.

Version2 har kørt den samme scanning med den nyeste version af Stinger og har ligeledes fået en advarsel fra McAfees program om, at der er fundet "Heuristic.FakeAlert trojan" i de filer, som Nemids Java-applet gemmer lokalt på brugerens pc.

For at udløse alarmen, skulle vi dog først slette de JAR-filer, som lå i forvejen og logge på igen på login.sikker-adgang.dk.

Artiklen fortsætter efter annoncen

En JAR-fil er en pakket fil, som bruges til at distribuere en Java-applet og indeholder blandt andet de billeder, som bruges af appletten. Alarmen fra McAfee opstår netop ved scanningen af JAR-filerne, hvor der ligger to billedfiler "large.gif" og "pause.gif", som McAfee identificerer som et ondsindet program.

Danid lagrer en lokal kopi af filerne til Java-appletten i mappen C:\Users\brugernavn.oces2\danid\plugins\ og den JAR-fil, som udløser McAfees alarm, er filen "DanID_Applet.jar". Filerne bliver gemt lokalt, så brugeren ikke ved hvert login skal hente en kopi af appletten fra serveren.

Det program, som McAfee angiveligt finder, er ud fra de tilgængelige oplysninger en trojaner, som kan vise brugeren en falsk virusalarm for at forsøge at lokke brugeren til at downloade og betale for et falskt antivirusprogram.

Alarmen udløses dog af en heuristisk genkendelse. Det vil sige, at der ikke er tale om en præcis identifikation af et kendt ondsindet program. Derimod er det en algoritme, som forsøger at genkende en bestemt type ondsindet program ud fra nogle generelle egenskaber.

Derfor er det sandsynligvis en falsk positiv, altså en falsk alarm, fordi den heuristiske algoritme forveksler en harmløs gif-fil med en ondsindet fil, fordi den harmløse fil har nogle karakteristika, som passer med de egenskaber, algoritmen leder efter.

Danid oplyser til Version2, at selskabet vil undersøge sagen. Version2 har også kontaktet McAfee for en kommentar.

32 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
32
17. november 2011 kl. 16:28

En stor del af grundlaget for at vi skulle til at benytte SlemId var, at "så bliver det så nemt at logge ind fra en hvilken som helst computer". Dette argument blev gentaget i en uendelighed, også efter at der var stillet spørgsmålstegn ved DanId's krav om, at man som bruger skulle garantere at f.eks. bibliotekets pc var udstyret med den nyeste opdatering af antivirus.

På den baggrund undrer det mig, at DanId har fundet det nødvendigt at udstyrer alle opkoblede computere med følgende: Citat"Danid lagrer en lokal kopi af filerne til Java-appletten i mappen C:\Users\brugernavn.oces2\danid\plugins\ og den JAR-fil, som udløser McAfees alarm, er filen "DanID_Applet.jar". Filerne bliver gemt lokalt, så brugeren ikke ved hvert login skal hente en kopi af appletten fra serveren."citat slut.

Spørgsmålet er om DanId bare fik en fiks ide til en salgskampagne og om de i såfald har overtrådt markedsføringsloven? Er der ikke nogle af forummets regelnørder, der kan opsnuse noget mere om dette?

Mvh Lars plbrake.dk

30
17. november 2011 kl. 13:33

Hvilke værktøjer benytter i til at identificere filernes eksekverbare format?

28
17. november 2011 kl. 13:25

Hvis jeg disekerede en "ond" java applet, ville ting som maskering af native kode i .gif-filer helt klart være på checklisten.

"Hvorfor" er et rigtigt godt spørgsmål, som V2 forhåbentlig forsøger at stille, hvis ellers ikke V2-journalister er røget i bad standing allerede. Så det bliver muligvis svært at finde nogen, der fra officielt hold vil "bidrage med flere elementer" til denne debat ... ;)

29
17. november 2011 kl. 13:28

Er det ikke et spørgsmål om, at få flere virusscannere til at fange den? Hvis først > 50% af danskerne får en virus alarm, så er de nød til at komme ud af busken.

Kan man ikke anmelde viruser og potentielle rootkits hos AV leverandørene?

26
17. november 2011 kl. 13:12

Er der nogen, der kan give et fornuftigt bud på, hvorfor NemID appletten kunne have behov for at køre et native program på brugerens computer? Kan det bruges til at øge sikkerheden, kan det være en simpel måde at løse et implementeringsproblem, eller er der en anden mulig forklaring, der om ikke retfærdiggører så forklarer, hvad de har tænkt?

27
17. november 2011 kl. 13:22

Fordi de har drukket af natpotten? (Eller mere sandsynligt fordi, at de er så inkompetente som vi alle går og frygter)

Hvis de endnu engang prøver og kvæle en historie med henvisning til, at de er nød til at holde deres arkitektur skjult for ikke, at kompromitere sikkerheden, så er der altså snart nogen der må dele håndmadder ud til de ansvarlige.

24
17. november 2011 kl. 13:10

virker åbenbart i et lille år

23
17. november 2011 kl. 13:06

Wuddlecake er del af obfucated som gør deres java svært at pille fra hinanden. java_dk_danid_plugins_wuddlecakes_d som ekspoteres fra de 4 binar blobs der, indeholder kald til at trække mac address, computer navn og ligende. Og ihverfald i ELF version som ikke er stripped kan man se aes256,HMAC_sha256,sha256. Men hvorfor det skulle være nødvendigt at implementer den slags i native kode, er mystisk.

22
17. november 2011 kl. 12:56

Det er lidt underligt at anvende .gif extension for kodefiler, når file programmet på linux genkender filerne sådan:

error.gif: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, not stripped pause.gif: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit logo2.gif: Mach-O fat file with 3 architectures large.gif: PE32+ executable for MS Windows (DLL) (GUI) Mono/.Net assembly

In 1999 ELF was chosen as the standard binary file format for Unix and Unix-like systems on x86 Under NeXTSTEP, OPENSTEP and Mac OS X, multiple Mach-O files can be combined in a multi-architecture binary. The PE32 format stands for Portable Executable 32-bit, while PE32+ is Portable Executable 64-bit format.

Der er formentlig tale om kodefiler, som anvendes til at binde java appletten til de forskellige operativsystemer. Der er i det mindste i pause.gif filen referencer til java Wuddlecake klassen, som er i Wuddlecake.class filen.

20
17. november 2011 kl. 12:40

Jaja... DLL maskeret som gif filer... Min tillid til NemID vokser konstant...

19
17. november 2011 kl. 12:08

"large.gif" er en 64-bit dll, "pause.gif" er en 32-bit dll.

18
17. november 2011 kl. 12:07

fra large.gif "This program cannot be run in DOS mode." :)

Såfremt dette er meningen kunne DanID undgå den negative omtale ved fuld åbenhed.

15
17. november 2011 kl. 11:59

"logo2.gif" starter med en Mach-O/Java bytecode header - den klassiske "0xCAFEBABE".

13
17. november 2011 kl. 11:50

De nævnte filer kan åbnes direkte i Dependency Walker, hvis man vil se afhængighederne. Der ser blandt andet ud til at være afhængigheder af diverse kernel- og kryptografi-biblioteker.http://dependencywalker.com/

16
17. november 2011 kl. 12:02

Mon ikke det er et JNI DLL til KeyStore-provider understøttelse af "My Certificate Store" (via CryptoAPI), nødvendigt for at understøtte OCES certifikater, svarende til MicrosoftCryptoApiXXX.dll i OpenOCES?

Bare forklædt som GIF, for at snøre de simpleste scannere, velsagtens, fordi et DLL ser suspekt ud.

Kunne man snart få lov at se kildekoden til NemID, eller bliver den tvivlsomme sikkerhed derved for åbenlys?

8
17. november 2011 kl. 11:17

Ligger problemet her ikke i den sammenhæng der er imellem de systemkald et rootkit andvender for at tage fuld kontrol og de kald et DRM eller antivirus laver for at tilsidegå hvad adgang OS måtte give til data?

Problemet er her nok igen danid's virtualle PKI model hvor man realt overføre data det i en korrekt implementering aldrig nogen sinde skal forlade en HW token og derfor skal have sikret at danid appletten har fuld ubegrænset kontrol over brugerens PC noget man ellers kun ser i rootkits og DRM systemer.

Nårmalt vil DRM og antivirus apps værre whitelistede af AV firmaernes filtre men det er sikkert ikke tilfældet med danid's applet.

Selvom det er lidt underligt at det er et par gif filer der udløser fejlem men måske det skyldes en tidligere whitelisting uden de opdaterede gif'er.

7
17. november 2011 kl. 11:06

For at udløse alarmen, skulle vi dog først slette de JAR-filer, som lå i forvejen og logge på igen på login.sikker-adgang.dk.

Og det betyder vel at "large.gif" og "pause.gif" nyligt er ændrede. Er dette noget, som I der bruger nemid har lagt mærke til?

6
17. november 2011 kl. 11:05

Der er åbenbart nogle DanID proselytter der er blevet stødt på manchetten.

Det er da godt, at V2 som det eneste medie herhjemme, og med teknisk indsigt, bliver ved med at bore i det eksorbitante makværk der går under betegnelsen "NemID"

De herrer mener måske også at fagpressen heller ikke må bore i fadæser som IC4, rejsekortet, storebæltbroen, den digitale tinglysning osv. osv.

17
17. november 2011 kl. 12:07

Der er åbenbart nogle DanID proselytter der er blevet stødt på manchetten.

man kan vel også stille spørgsmål om du ikke også er, "stødt på manchetten", når du nu skal køre korstog hver gang nemid er nævnt ;o) din lille kamp mod vindmøllerne?

5
17. november 2011 kl. 11:04

De nævnte filer ER suspekte; de kan ikke vises med en GIF viewer (og nu håber jeg ikke, at jeg netop har inficeret min pc). Det samme gælder "error.gif" og "logo2.gif".

4
17. november 2011 kl. 11:03

Det er et kendt EB trick at sætte et spørgsmålstegn efter overskriften. Så har man sin ryg fri :)

3
17. november 2011 kl. 10:59

Det er dog helt utroligt. Det er som om Version2 gør alt for at finde noget som bare kan signalere negative forhold ved NEMID - også selv om det med stor sandsynlighed også her er en 'falsk positiv'. Magen til EB journalistik skal man dog lede længe efter.

2
17. november 2011 kl. 10:53

.... men det afholder jer "heldigvis" ikke fra at blæse det op til en stor forsidehistorie inden i ved noget.

hvem var det der sagde at v2 begyndte at ligne eb journalistik - jeg er efterhånden enig.

9
17. november 2011 kl. 11:30

Jeg har nu ændret overskriften. Der var dog efter min mening fuld dækning for den tidligere "Er NemID-applet inficeret med virus?", da et anerkendt antivirusfirma påstår netop dette.

Version2 forfølger i øjeblikket flere interessante spor i sagen, så det sidste punktum er næppe sat.

Mvh Morten K. Thomsen, redaktør Version2.

10
17. november 2011 kl. 11:37

Jeg har nu ændret overskriften.

Cadeau for det - sagen er for vigtig til det bare skal drukne i en diskussion om overskrifter.

Men herudover vil jeg gerne medgive at I er for slemme til at lave underlødige/uheldige overskrifter, hvilket er synd og skam, og slet ikke nødvendigt.

12
17. november 2011 kl. 11:49

Ja, kan vi ikke lade debatten om overskrifter ligge? Så lover jeg snarest at skrive et blog-indlæg om vores tilgang til overskrifter, og hvordan vi tænker om den. Så kan vi tage debatten der i stedet for.

Mvh Casper, Version2

1
17. november 2011 kl. 10:51

overvågning ;-)