McAfee til DanID: Lav løsningen med skjulte programfiler om

Antivirusfirmaet McAfee kritiserer DanID for at omdøbe programfiler til uskyldigt udseende GIF-billeder. Samtidig har firmaet lavet en undtagelse i softwaren, så den ikke længere kategoriserer NemID's Java-applet som malware.

Sikkerhedsfirmaet McAfee har fredag den 18. november udsendt en opdateret version af selskabets antivirusværktøj Stinger, så det ikke længere kategoriserer NemID's Java-applet som malware. Det oplyser McAfee i en e-mail til Version2.

»Det er blevet løst med den daglige opdatering af Stinger,« skriver afdelingschef Alex Hinchcliffe fra McAfees malware-efterforskningsafdeling.

Læs også: McAfee advarer om virus i NemID

Stinger-programmet reagerede på, at NemID's Java-applet gemmer en pakket fil på brugerens pc, som indeholder nogle programfiler, der er camoufleret som GIF-billedfiler. Selve programfilerne er desuden blevet sløret med forskellige metoder for at gøre det vanskeligt at analysere sig frem til, hvad de gør.

Læs også: Derfor udløser skjult NemID-kode virusalarm

Med den nye opdatering vil Stinger-værktøjet ikke reagere på de karakteristika i NemID's Java-filer, som tidligere udløste alarmen, når en bruger kørte en scanning med værktøjet. Sikkerhedsfirmaet har dermed gjort en undtagelse for den danske login-løsning.

»Med løst mener jeg, at vi har undertrykt den heuristiske detektion på disse uskyldige filer, men vi vil godt opfordre udviklerne bag til at genoverveje de teknikker, de har brugt i løsningen. Det vil sige ikke at omdøbe programfiler med andre filendelser, fordi den fremgangsmåde ofte bliver brugt af virusprogrammører for at undgå at blive sporet af antivirusprogrammer,« skriver Alex Hinchcliffe til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Madsen

Er der nogen her der lige gider give oplysningerne om dette videre til nogen der skriver virus, det må da være rimeligt relevante informationer for en virus programmør at bare han smider filerne i et bestemt bibliotek og giver dem endelsen gif så bliver de ikke detekteret af antivirus programmerne.

Henrik Madsen

  • 4
  • 8
Anders Kjærgaard Hansen

Nu står der jo at den genkender karakteristika. Og jeg regner med at det rækker lidt længere end large.gif i en bestemt jar fil.

Men det åbner da for at næste gang NemID laver en opdatering i deres algoritmer så vil McAfee (og evt. andre) måske igen detektere dem som ondsindet hvis ikke de har ændret praksis - eller sørger for at informere McAfee.

Mon ikke man som udvikler vil sidde og overveje sit design en ekstra gang hvis man en uge inden release skal sørge for at sende en mail til AV producenter for at ens software ikke at blive mistænkt. :-)

  • 5
  • 0
Casper Bang

Det er symptombehandling istedet for at løse det reelle problem. AntiVir, Norton, Kaspersky, AVG, Avast, BitDefender, Nod32, F-secure, Panda osv. skal vel ligeledes informeres omkring DanID's uprofessionelle fremgangsmåde.

  • 7
  • 0
Lars Knudsen

Inden NemID blev rullet ud, brugte jeg jyskebanks løsning med nøglekort, der virkede meget mere sikker og UDEN behov for Java i browseren. Jeg forstår simpelthen ikke hvorfor man ikke har kigget på hvad der var inden blev sat i søen. Det er de små forskelle, der gør det: 1) I den tidligere løsning fra JyskeBank skulle man bruge en ny nøgle for hver transaktion - ikke bare genbruge sit eget kodeord - på den måde kunne man praktisk talt forlade en session, der var logget ind på eks. biblioteket og ingen andre kunne udføre nye transaktioner - end ikke med keylogger, etc. 2) ved login skulle man først bruge personnummer + nøglekortnummer og så egen kode + unik kode fra kortet på side 2 .... Helt uden brug af Java applets

  • 6
  • 0
Jan Gundtofte-Bruun

Det er symptombehandling istedet for at løse det reelle problem.

Ja, og i det perspektiv skuffende at McAfee går med til at lave undtagelser. Men et andet perspektiv er at det giver DanID lidt tid til at lave om på deres program UDEN at den jævne dansker går i panik til hverdag. Dermed ikke sagt at McAfee vil fortsætte med at opdatere eller tillade denne undtagelse -- det er i hvert fald mit håb at de laver en "x strikes and you're out" aftale overfor DanID.

  • 8
  • 0
Cristian Ambæk

Det er en skam at MacFee strikkede denne løsning sammen. Syntes at de skulle blive ved med at reagere på DanID,s "gif" filer. Og forhåbenlig den vej tvinge DanID til at lave en bedre løsning.

  • 6
  • 2
Casper Bang

Puha, der er lang vej. IMHO er det reelle problem at der overhovedet er et behov for AV software.

Der er jeg ikke helt enig. Folk som dig og mig der læser version2, har en vis indsigt og kan f.eks. vælge at undgå laveste fællesnævner (Windows), opdatere applikationer konstant og udvise agtpågivenhed når vi lugter ufint trav. Men det kan hr. og fru Hansen ikke. Ud fra præmisserne 1) at der er fejl i software og 2) ikke alle brugere render rundt med CS diplomer, er det svært at forestille sig det anderledes.

  • 2
  • 2
Benjamin Kristensen

Det er en skam at MacFee strikkede denne løsning sammen. Syntes at de skulle blive ved med at reagere på DanID,s "gif" filer. Og forhåbenlig den vej tvinge DanID til at lave en bedre løsning.

Desvære tror jeg ikke de ville have opnået andet end at DanID sagde til alle at hvis NemID blev "opdaget" af Anti-Virus, så skulle man være ligeglad, og hvor ville vi så være? :S

  • 2
  • 0
Henrik Madsen

Desvære tror jeg ikke de ville have opnået andet end at DanID sagde til alle at hvis NemID blev "opdaget" af Anti-Virus, så skulle man være ligeglad, og hvor ville vi så være? :S

Så ville vi være der hvor DanID var nødt til at fortælle folk at de skulle ignorere advarsler fra deres virusscanner.

Samtidigt med at man gladeligt skulle kunne klikke i links modtaget i emails..

Skandalen er snart komplet, det eneste der mangler er at der er en eller anden som opdager at NemID appletten har en bagdør som giver DanID adgang til at scanne din computer og downloade og afvikle programmer på din maskine.

Men den funktionalitet er nok begrænset til den applet som de kan pushe til de folk som PET gerne vil udspionere så det er ikke sikkert den er "i det fri" endnu.

Men det kunne være interessant hvis nogen lavede et program som kunne scanne ens computer efter DanID filer og fortælle om det var den officielle version der lå på deres maskine eller en modificeret version ala bundestrojaneren.

Henrik Madsen

  • 3
  • 0
Cristian Ambæk

Desvære tror jeg ikke de ville have opnået andet end at DanID sagde til alle at hvis NemID blev "opdaget" af Anti-Virus, så skulle man være ligeglad, og hvor ville vi så være? :S

Det måske rigtigt. Men man bliver nød til at sætte fokus på problemet som det er, og ikke "gemme" det. Til sidst skulle der nok være en eller flere som ville stille spørglsmåltegn ved det. Men hvis man gemmer det, så tror alle jo at tingene er i orden.

Dette minder mig lidt om at male en væk fordi der vokser svamp på den. Man skjuler måske problemet en rum tid, men det går ikke væk.

  • 0
  • 0
Henrik Mikael Kristensen

Skandalen er snart komplet, det eneste der mangler er at der er en eller anden som opdager at NemID appletten har en bagdør som giver DanID adgang til at scanne din computer og downloade og afvikle programmer på din maskine.

Vi mangler også et DDoS eller fysisk angreb på DanID's servere med dages eller ugers nedetid til følge, evt. med et løsesumskrav på en milliard kroner fra angriberen. Der skal kun én illoyal DanID medarbejder til...

  • 1
  • 0
Thue Kristensen

Skandalen er snart komplet, det eneste der mangler er at der er en eller anden som opdager at NemID appletten har en bagdør som giver DanID adgang til at scanne din computer og downloade og afvikle programmer på din maskine.

Huh? Hver gang du logger ind med NemID, så henter du en ny applet som kan indeholde hvadsomhelst. Der er da slet ikke brug for nogen "bagdør" for at "downloade og afvikle programmer på din maskine".

  • 0
  • 0
Casper Bang

Hvori består det "uprofessionelle" i DanIDs fremgangsmåde?

At man tror det giver ekstra sikkerhed at ændre på filendelser. Det svarer lidt til dem der tror de "sikrer" deres WiFi ved at undlade at udsende SSID'er, "sikrer" deres shell/FTP/whatever adgang ved at bruge en non-standard port osv. osv. Med andre ord, Security_through_obscurity som allerede er blevet nævnt.

  • 0
  • 0
Henrik Madsen
  • 0
  • 0
Log ind eller Opret konto for at kommentere