Computersikkerhedsfirmaet Symantec har fundet, hvad de kalder et af de mest sofistikerede stykker malware nogensinde set. Det skriver BBC News.

De fortæller, at buggen hedder Regin, at den formentlig er programmeret af en regering, og at den er blevet benyttet i seks år mod en lang række mål verden over.

Når den er installeret på computeren, kan den blandt andet hente screenshots, stjæle passwords og gendanne slettede filer.

»Det ser ud til, at den kommer fra en vestlig organisation. Det er det niveau af dygtighed og ekspertise og over, hvor lang tid den er udviklet,« siger Sian John, sikkerhedsstrategiker hos Symantec.

Symantec fortæller, at computere i Rusland, Saudi Arabien og Irland er hårdest ramt, og de fortæller samtidig, at Regin bliver brugt til at spionere mod statslige organisationer, virksomheder og private personer.

Hos Symantec fremhæver de Regin som et meget sofistikeret stykke spyware. Så sofistikeret, at de mener, at det er et cyberspionage-værktøj, som er udviklet af en nationalstat.

Symantec mener heller ikke, at værktøjet er blevet udviklet over natten. De mener, at det er sandsynligt, at de, der har udviklet det, har brugt måneder eller år på det.

Sikkerhedsfirmaet drager paralleller til ormen Stuxnet, som menes at være programmeret af enten USA eller Israel til at ramme Irans atomprogram. Men hvor Stuxnet var udviklet til at ødelægge udstyr, er Regins formål at indsamle information.

App-udviklingsfirmaet iDeal Development har modtaget et brev fra Nets, der kræver, at det aarhusianske softwarefirma skal fjerne app’en NemmereID fra Apples App Store. Nets vurderer, at app’en krænker varemærket NemID, som Nets ejer i fællesskab med Digitaliseringsstyrelsen. Desuden mener Nets, at app’en er i strid med markedsføringsloven.

NemmereID har tidligere været omtalt her på Version2. Og det er kort fortalt en app, der gør det muligt at affotografere flere NemID-nøglekort og lagre dem krypteret i en iPhone. Herefter bliver den rette engangskode fundet frem via tekstgenkendelse, når en nøgle bliver indtastet.

Af Regler for NemID fremgår det dog af pkt. 3, stk. 2, at det ikke er tilladt at scanne, indtaste eller på anden måde digitalisere eller kopiere nøglerne fra NemID-nøglekortet, som der står i brevet.

Nets mener derfor, at app’en er i strid med markedsføringslovens § 1 om god markedsføringsskik, da app’en har det ene formål at få brugerne til at foretage en handling, der udgør et brud på Regler for NemID.

I den forbindelse giver Nets udtryk for, at brugere, der får deres netbank misbrugt som følge af den digitale opbevaring i NemmereID, muligvis vil kunne kræve erstatning af iDeal Development:

»Forbuddet er indført af hensyn til brugernes egen sikkerhed. Opbevaring af nøglekort på mobiltelefoner og tablets i strid med Regler for NemID vil af denne grund kunne betragtes som grov uagtsomhed. Brugers mulighed for at få et eventuelt økonomisk tab ved misbrug af netbank-adgang dækket af banken vil derfor formentlig kunne begrænses i henhold til lov om betalingstjenester. Det er muligt, at bruger herefter vil kunne rette et erstatningskrav mod iDeal Development APS,« står der i brevet, som Version2 har modtaget en digital kopi af, og som kan ses i sin helhed under artiklen.

Brevet, der er dateret 14. november, giver desuden iDeal Development syv dage til at fjerne app’en.

»Da formålet med NemmereID således er i direkte konflikt med Regler for NemID og markedsføringsloven og ligeledes udgør en varemærkeretlig krænkelse af NemID, skal vi anmode jer om straks og inden syv hverdage fra dato at fjerne NemmereID-app’en fra Apple iTunes App Store og andre eventuelle distributionskanaler/hjemmesider,« står der.

Solutions Architect og Partner i iDeal Development Esben Bjerregaard erkender, at navnet NemmereID nok overtræder Digitaliseringsstyrelsens og Nets’ varemærke.

»Vi læser det sådan, at det med navnet nok er noget, vi er nødt til at imødekomme. Der tror jeg ikke, der er så meget at rafle om,« siger han og tilføjer:

»Lige for øjeblikket overvejer vi, hvad vi skal gøre. Om vi skal pille den af eller gøre noget andet.«

Desuden hæfter Esben Bjerregaard sig ved, at der findes andre lignende apps, hvor nøglekortet også affotograferes på en mobiltelefon.

»Vi synes, det er lidt sjovt, at de kommer efter os efter artiklen på Version2. Der findes jo faktisk andre apps, der har en lignende funktionalitet. Det virker lidt, som om Nets måske ikke selv holder vanvittigt meget øje med, hvad der foregår,« siger han.

Dokumentation

Kopi af brevet fra Nets, som iDeal Development modtog med almindelig post: