Sikkerhedsfirma kritiseres for ikke at afsløre smittekilden til NemID-trojaneren

Sikkerhedsfirmaet CSIS vil ikke pege på, hvilke hjemmesider der har spredt den trojaner, som blev brugt til at stjæle 700.000 kroner fra otte danskere.

Det var en helt legitim hjemmeside, der tidligere på måneden inficerede otte danske netbankkunder med NemID-trojaneren BankTexeasy, som efterfølgende tømte deres bankkonti for i alt 700.000 kroner.

Men hvilken hjemmeside ved end ikke ét af ofrene, it-konsulenten Simon Jonassen, som fortalte sin historie om, hvordan han blev lokket i fælden, til Version2.

Læs også: Hacket netbank-kunde afslører: Ond NemID-trojaner smadrede Windows

Sikkerhedsfirmaet CSIS, som efterforsker trojanerens oprindelse, vil endnu ikke afsløre noget om, i hvilken retning sporene peger.

»Vi skal være 100 procent sikre på, at vi ikke hænger nogen ud, og det så viser sig at være forkert,« siger sikkerhedskonsulent Peter Kruse fra CSIS til Version2.

Han kan kun sige, at trojaneren efter al sandsynlighed kun er kommet ét sted fra, men kan være spredt af flere kanaler.

Præcis, hvad det dækker over, vil han ikke uddybe, men ud fra de sparsomme oplysninger kunne det tyde på, at efterforskningen peger på en tjeneste, der leverer indhold, som vises på flere hjemmesider.

Da det tidligere er kommet frem, at der blev brugt flere sårbarheder i browseren eller browserplugins, kunne et kvalificeret bud være et bannerreklamenetværk. Peter Kruse vil dog ikke forholde sig til den teori.

»Vi er ikke åbne for spekulation. Vi er ret sikre på, hvem det er, men hvis vi skal sige noget offentligt, så skal det være nagelfast,« siger Peter Kruse.

Tavshed vækker kritik

Tavsheden omkring efterforskningen bliver mødt med kritik fra den erfarne journalist og it-kommentator Dorte Toft i et blogindlæg på Business.dk:

'Hold op med jeres 'hat og blå briller'-fortielse af, hvad der er sket. Ellers ender det med, at I også får undergravet tilliden til NemID som adgangen til de offentlige registre, og så er den offentlige digitaliseringsstrategi ikke det papir værd, den er nedfældet på,' skriver Dorte Toft.

Hun kritiserer også, at der gik flere dage, fra Simon Jonassen advarede Danske Bank den 6. februar, til Nets DanID og Danske Bank advarede offentligheden om angrebet den 10. februar.

Ligesom kilden til spredningen af trojaneren stadig er hemmeligholdt, så er det også uvist, præcis hvornår det lykkedes at få lukket de servere, som blev brugt af bagmændene.

Hemmelighedskræmmeriet begrundes med, at ingen ønsker at advare bagmændene om, hvor tæt efterforskningen er på at finde frem til dem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kai Birger Nielsen

Jeg kører med noscript plugin på min firefox. Det er jo rædsomt at se hvor mange ekstra domæner, der er i spil, hvis man fx vil se en video på jp.dk.
Og alle stoler jo på google for at kunne spare 5 ms på at loade jquery.
Den samme syge findes også på bankernes og kreditforeningernes sites og faktisk synes jeg også nemid er med i klubben for den signerede applet er jo også bare en loader. Det er hurtigt og billigt at lave fx bannerreklamer på den måde, men sikkert?
Samtidigt tager banker og kreditforeninger jo ikke henvendelser om manglende sikkerhed alvorligt med mindre henvendelsen er af typen "der mangler N gange tusinde kroner på min konto". For mit vedkommende er jeg bare holdt op med at brokke mig til dem.

Torben Bendtsen

Man må da gå ud fra, at et sikkerhedsfirma som CSIS er så seriøse, at de har sørget for at give alle de store antivirusproducenter en kopi, så de kan være med til at lukke af. Ellers er det særdels kristisk, at et (Dorte Tofts ord) dansk selskab med 40 ansatte udøver monopol på noget så kritisk.

Deres Detection Tool konstaterer jo bare, om det er gået galt for lige præcis den ene udgave, hvor antivirusproducenter gerne skulle kunne finde og fjerne den og efterfølgende udgaver. Det er kritisk, hvis det kun er én enkelt privat virksomhed der fører sig frem på noget så vigtigt.

Søren Mikkelsen

Hvis en bank eller staten kontakter "privat virksomhed" for at få udført opgaven at undersøge og finde spor i en sag vil jeg tro alle parter har en tavshedspligt i stil med en politimand eller højere, privat virksomhed kan vel kun levere deres info et sted og det er til kunden, hvad kunden så vil offentliggøre er så deres sag men hvis man skal have en mulighed for at fange bagmænd (hvilket kunde må have interesse i) så nytter det jo ikke noget at råbe op om hvad man har fundet fra dag 1, hvad det så end måtte betyde (negativt eller positivt) for Danskens tro på NemID's sikkerhed kan vel aldrig være "privat virksomheds" problem.
Har NemID for øvrigt ikke helt fint selv "undergravet tilliden" til sig selv, det godt nok tit der er ballade om NemID i div medier.

Anonym

" den offentlige digitaliseringsstrategi ikke det papir værd, den er nedfældet på. "
Det ER situationen lige nu !
Sikkerheden omkring NemID, er absolut væk, og den sikkerhed skulle danne grundlag for hele den strategi der er lagt.
Hele det Danske Digitale samfund, hviler på NemID.

Fordi vi ikke kan vide, om "alle" er angrebet, har en keylogger, trojaner, eller andet snavs på PC'en, så er der ingen der er sikre.

Man kan ikke engang følge med i, om man bliver kigget over skulderen.
Men at man bliver kigget over skulderen, ER en del af nettet i dag, og det skal man have med, når man vælger en løsning til identifikation.

Der er ingen der kan lede efter disse nye "muligheder", for CSIS holder kortene tæt til kroppen.
Derfor udstiller CSIS alle brugere, ikke kun NemID brugere, men alle brugere, for en helt unødvendig risiko. Ikke engang anti-virus-virksomheder, har den mindste mulighed for at agerer på det, og dermed i det mindste hjælpe i den aktuelle situation.
CSIS, vil altså ikke kunne få hjælp. Og, Finansrådet er TVUNGET til at lytte til CSIS, selv om CSIS ikke kan leverer løsningen.
Det er 100 % det samme taskenspilleri, som vi er vant til fra Netz-DanID og CSIS.
Det kan snart ikke blive mere plat og utroværdigt.

Hele det Danske del af det Digitale Samfund, hviler på en enkelt branche, finansverdenen. De aner ikke et klap om IT, og er derfor nød til at spørge CSIS om råd, når de skal vælge.
CSIS har ingen mulighed for at gøre noget som helst, der er i mod finansrådet / digitaliseringsstyrrelsens interesse, for så har CSIS mistet deres største kundegrundlag.

CSIS har nu kun en mulighed tilbage, det er at holde kortene tæt til kroppen, for så er det CSIS der har retten til at komme med en løsning.
Problemet for CSIS i øjeblikket er, at de også har pligten til at komme med en løsning.

Kommer de ikke med en løsning, inden for dage, så er CSIS, finansrådet, og dermed NemID færdige, og dermed også hele grundlaget for den strategi der er lagt fra politisk side.

Opgaven for CSIS er, at de skal komme med en løsning, der forhindrer enhver trojaner, keylogger, online-svindel, på alle tænkelige platforme, for alle tænkelige klienter, så NemID ikke kan kompromitteres.
NemID er netop lavet, så det ikke må kompromitteres.
DEN løsning, ser jeg frem til.

Man har kendt til det scenarie man er i nu, meget længe.
Arrogant har man afvist det, som ren teori.
SENEST siden efteråret, har man været klar over, at der ikke var tale om ren teori, men et meget reelt trusselsbillede.
Det er ikke kun en trussel fra IT-ivrige knægte, men også fra meget professionelle, uanset de forskellige motiver.
Her skal man bemærke, at det kun er fordi der er tale om sager der er kommet frem offentligt, at man har haft behov for at tage offentlig stilling. Alle sager om identitetstyveri, og lignende svindel, tager man heller ikke med.

CSIS / Netz-DanID, har haft meget længe til at løse opgaven.
Det er helt usandsynligt at de kan, ikke kun teoretisk, men også praktisk.

Igen, lyt nu til Dorte Toft, hun har forstået noget.

Per Erik Rønne

Jeg fik en mail ned angående ovennævnte post fra Ano nymous, og kom til at klikke på det forkerte link. Som svarer til det link, der også står i meddelelsen her på siden.

Sophos greb for første gang ind, og oplyste at der var tale om en virus (da OS X er virus-fri om end ikke malware-fri er det vel en Windows-virus). Version 2s system burde have opdaget det, og det virker da også mærkeligt at man har accepteret en bruger med fornavnet »Ano« og efternavnet »nymous«.

Simon Jonassen

Hvis man studerer csis's værktøj en lille smule kan man se at den rent faktisk leder efter nogle bestemte filer på nogle bestemte placeringer....

ikke bare en fil med tilfældig navn

ergo, hvis du eks. omdøbt din fil til at hedde wgatray.exe (eller en af de andre navn som farer forbi på skærmen når du kører værktøjet) og placerede filen ned i %windir%\system32 - så fik du nok en rød sur smily når du kører værktøjet ! hvis der altså er tale om den rigtig BankTexEasy trojan.....

Log ind eller Opret konto for at kommentere