Corydon: Valg af Java til NemID skyldtes ikke sikkerhedshensyn

Java blev valgt som motor bag NemID, fordi det offentlige i 2008 lagde vægt på, at løsningen skulle kunne køre på alle enheder. Enhedslisten kritiserer teknologi-monopolet for at gøre danskerne sårbare.

Et stort, blødende sikkerhedshul i Java i begyndelsen af januar, som potentielt gjorde fire millioner NemID-brugere sårbare for it-kriminelle, har fået debatten om Java og NemID til at blusse op.

Læs også: Alarm: 4 millioner NemID-brugere truet af kritisk Java-hul

Debatten fik Enhedslistens it-ordfører Stine Brix til at stille finansminister Bjarne Corydon (S) en række spørgsmål om NemID og Java. Hun spurgte blandt andet Bjarne Corydon om, hvilke sikkerhedsmæssige fordele der er ved at basere NemID på Java.

»Valget af Java som det teknologiske grundlag for NemID løsningen blev truffet tilbage i 2008/2009, hvor løsningen blev udviklet. Valget af Java som platform blev ikke truffet på baggrund af enkeltstående sikkerhedsmæssige betragtninger eller fordele, men ud fra en helhedsbetragtning i forhold til, hvordan de forskellige mulige teknologier, som man på daværende tidspunkt kunne basere NemID på, tilgodeså kravene til den samlede løsning. Java-teknologien passede i den sammenhæng bedst til den specificerede arkitektur for NemID og tilgodeså samtidig den tidligere IT- og Telestyrelses krav til platformuafhængighed og sikkerhed for den samlede løsning,« skriver ministeren i sit svar til Stine Brix.

Læs også: Få overblikket: Derfor er kritisk Javahul vigtigt

Monopol gør os sårbare

Reaktionen fra Stine Brix kommer prompte:

»Det er ærgerligt, at han ikke erkender, at én fælles operatør med én bestemt teknologi giver sikkerhedsproblemer. Monopolet betyder, at vi bliver meget ens og dermed meget sårbare,« siger Stine Brix til Version2.

Hun har også spurgt ministeren, om hvorvidt »det er hensigtsmæssigt, at alle danske borgere, som anvender selvbetjeningsløsninger med NemID, er tvunget til at bruge Java, som indeholder en række sikkerhedsmæssige huller.«

Det kan ministeren ikke se noget problematisk i:

Ingen løsning er 100 % sikker

»Valget af teknologi for en stor it-løsning som for eksempel NemID bliver truffet på baggrund af en helhedsbetragtning i forhold til, hvordan de forskellige mulige teknologier kan tilgodese kravene til den samlede løsning. Uanset hvilken teknologi eller sikkerhedsløsning, man havde valgt at basere NemID på, vil teknologien altid være forbundet med risici og sårbarheder. Dette skyldes det faktum, at trusselsbilledet ændrer sig konstant, hvorfor det ikke er praktisk muligt at etablere løsninger og systemer, der over tid er 100 % sikre. Java er ingen undtagelse i den sammenhæng. Opgaven er løbende at vurdere og imødegå de risici og sårbarheder, der opstår i forhold til den valgte teknologi,« skriver Bjarne Corydon i sit svar.

Men Stine Brix mener, at Bjarne Corydon retter bager for smed i sin argumentation:

»Hovedproblemet er, at man fastholder, at alle skal bruge samme løsning. Det ser klart, at man aldrig kan lave en 100 % sikker løsning, men vi bliver særligt sårbare, når alle danskere bliver tvunget til at bruge en bestemt teknologi,« siger hun til Version2.

Læs også: Java-opdatering på engelsk spænder ben for NemID-brugere

Men det har jo været en helt bevidst tankegang i den offentlige digitaliseringsstrategi, at alle netop skulle ensrettes og bruge samme løsning?

»Ja, men prisen er potentielt store sikkerhedsproblemer. Jo flere huller, vi bliver udsat for, desto flere vil blive usikre på at anvende løsningen. Og det forstærkes kun af, at man nu gør det obligatorisk at skulle betjene sig selv på nettet,« siger Stine Brix til Version2.

I et tredje af de i alt seks spørgsmål beder Stine Brix finansministeren om at redegøre for, »hvorvidt regeringen vil tage initiativer for at sikre og eller rådgive den danske befolkning mod sikkerhedshuller i Java og NemID.«

Hertil svarer Bjarne Corydon:

Nemid.nu sørger for sikkerhedsinfo til borgerne

»En vigtig faktor for den samlede sikkerhed omkring NemID er borgerens håndtering af NemID og generelle adfærd på internettet. På nemid.nu rådgiver Digitaliseringsstyrelsen derfor allerede borgere i relation til NemID og sikkerheden knyttet hertil. På hjemmesiden kan borgere finde relevant information og gode råd om sikkerhed og NemID, hvordan de kan færdes sikkert på nettet, hvordan de kan beskytte sig selv og andre mod sikkerhedsproblemer, samt hvordan de passer på deres personlige oplysninger.«

Heller ikke dette svar er Stine Brix tilfreds med.

»Det er nok de færreste, der af sig selv går ind på nemid.nu og tjekker den slags - og endnu færre der handler efter anvisningerne. Så svaret viser i en eller anden forstand, at man er magtesløs over for det system, man har bygget op. I stedet for at forsvare systemet, burde det give anledning til, at man i stedet spurgte sig selv, om det var et godt system,« lyder det fra it-ordføreren.

Kommentarer (30)

Martin Kofoed

Java blev valgt som motor bag NemID, fordi det offentlige i 2008 lagde vægt på, at løsningen skulle kunne køre på alle enheder.

Såsom de Java- og Flash-løse mobile enheder, som allerede i 2008 var i eksplosiv vækst.

Genialt.

Stine Brix lyder i øvrigt til at have fattet problematikken.

Brian Jacobsen

Rart at se at politikerne er landet på Jorden og erkender at NemID ikke er 100% sikkert.

Det store spørgsmål er så: Hvad er plan B?

Når en borger bliver hacket, hvad så? Hvor går man hen?

Alle udtalelser i artiklen retter sig mod at forebygge problemet, men det er (nu officielt) ikke altid muligt, så hvad er behandlingen?

Peter Johan Bruun

Jeg ved ikke om dette er et tilfældigt sammentræf, men: Java fungerer ikke på Mac OS X i dag...det startede ved omkring 11 tiden, hvor der blev adviseret om en ny installation af Java. Efter success fuld installation er det ikke længere muligt at bruge Java i Safari, og på Firefox står der: "Dette plugin indeholder kendte sikkerhedshuller. Klik her for at aktivere pluginnet java Apple".....

Martin Wolsing

Ret skal være ret. I 2008 var væksten af smartphones nok høj, men markedsandelen var meget lav. Vi der dengang mente at det ville blive stort blev jo nærmest udråbt som idioter. Derfor er det heller ikke underligt at det offentlige valgte som de gjorde. Fejlen ligger mere i, at man ikke har fået det ændret efterhånden som vi er blevet klogere.

Thomas L. Kjeldsen

Det ser ud til at Apple igen har deaktiveret Java-plugin'et i Safari.app på MacOSX.

CW har skrevet lidt om det på http://www.computerworld.dk/art/224127/mac-brugere-i-problemer-netbank-v... og der er et par tweets om det på https://twitter.com/search?q=java%20xprotect

Snip fra /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

<key>com.oracle.java.JavaAppletPlugin</key>  
<dict>  
  <key>MinimumPlugInBundleVersion</key>  
  <string>1.7.11.22</string>  
</dict>
Hans Schou

Det Corydon mente med sikkerhedshensyn var: Af hensyn til rigets sikkerhed, er Java blevet valgt som teknologisk platform, for ved en given lejlighed at give PET adgang til borgernes harddiske.

Lasse Enevoldsen

Jeg synes da idéen med at kunne logge ind med NemID på forskellige platforme er god, men kunne man ikke fra Statens side så udvikle sin egen "java-klon" til at køre det?

Jeg synes ikke det er rimeligt eller heldigt at gøre sig så afhængig af Oracles Java. Jeg mener Java er jo udviklet til meget andet end lige NemID og derfor vil der helt sikkert også opstå sikkerheds-problmer i fremtiden. Vi kan ikke forvente at Oracle skal løse Danmarks problemer. Det skal Danmark jo selv gøre.

Så mit forslag: Sæt statens UNI-C på opgaven med at skrive en java-klon, som så bruges til at køre NemId. Hvem skal betale? Det kunne bankerne glimrende betale for. Så giver de også en lille smule tilbage til det samfund, der har "bundet røven op på dem" i tide og utide.

Henrik Mikael Kristensen

Måske, men det er altid et problem at vælge en platform, der kun vedligeholdes af én virksomhed, selvom det stadig var under Sun's domæne, når målgruppen er så mange danskere som muligt.

Man må jo tage udgangspunkt i webbrowsere og implementere en løsning, som fungerer direkte heri uden plugins, også selvom det betyder hardwarenøgler ved siden af.

Jacob Ottesen

Enig op til NemID indførelse var Java noget af det for efterspurgte i stedet for ActiveX som de fleste banker brugte til login

Jyske Bank brugte JavaScript. Fungerede fint og kunne sikkert allerede dengang bruges på smartphones. Jeg er blevet MINDRE platformuafhængig efter at de skiftede over til den nye løsning ifm NemID.

Iøvrigt er det patetisk at læse: "En vigtig faktor for den samlede sikkerhed omkring NemID er borgerens håndtering af NemID og generelle adfærd på internettet." Det er muligt det er korrekt, men tager jeg helt fejl eller var det ikke et af de fremmeste argumenter dengang NemID blev vedtaget, at en sådan centraliseret løsning var nødvendig fordi man ikke kunne regne med at brugernes pc var sikker, og at de gebærdede sig korrekt? Det var, sammen med højere brugervenlighed, hele rationalet for at give DanID deres monopol.

Fuck hvor er det ringe.

Brian Nielsen

Det skortede ikke på advarsler fra folk, som ved om den slags ting, dengang det blev åbenbart hvilken platform og kryptering, PBS/NETS - senere udskilt til DanID - ville anvende.

Der var livlig debat i dagbladet Ingeniøren, som påpegede alle sikkerhedshullerne, faren for man-in-the-middle-attack og det vanvittige i, at adgangskoderne og krypteringsnøglen er énsidige.

Det er så bare énside af misèren: I samme øjeblik du klikker på Java ikonet, accepterer du, at der downloades og eksekveres et program på din computer, som har administrator rettigheder og som kan indeholde hvadsomhelst.

Som en anden læser, Hans Schou ganskerigtigt bemærker: Det kunne eksempelvis være PET, der kunne tænke sig at inspicere din harddisk og i øvrigt hvad du ellers foretager dig, og det kan være en hacker - eller, for at være mere aktuel, Skat, som vil kigge dig i kortene. De har endnu ikke fået lov af misundelsesministeriet, men det kommer såmænd nok.

NemID blev af fagfolk betegnet som 'en katastrofe, der venter på at ske.'

Nuvel, katastrofen er sket og gentages dagligt. Hele landets offentlige administration samt adgang til bankkonti er lagt over på en platform, som end ikke opfylder de mest basale sikkerheds krav - og med fare for kompromittering af samtlige sagesløse borgeres computere fordi selve princippet er hullet som en si.

I banker og private virksomheder verden over anvendes 'challenge protocol,' d.v.s. øjeblikskoder, som er betinget af den private nøgle, som kun brugeren har, og som kører på alle platforme samt både dumme og smarte mobiltelefoner og som ikke kræver download af et livsfarligt program som Java.

Men de vise fædre i IT- og Telestyrelsen, som det hed dengang, ville meget hellere bevilge PBS 5 milliarder (!) til at opfinde hjulet en gang mere. Opgaven lød på, at den skulle løses efter laveste fællesnævner princippet.

Man kan ikke sige andet end at det så sandelig lykkedes.

Det korte af det lange: NemID er nok en gang et skoleeksempel på hvad der sker, når opdragsgiverne og politikerne ikke fatter en brik af, hvad det drejer sig om og baserer ordre parametrene på direktiver og vejledninger fra 90'erne.

At regere et land er en alvorlig sag - måske burde vi slet ikke overlade det til politikere.

Jesper Lund

Det er muligt det er korrekt, men tager jeg helt fejl eller var det ikke et af de fremmeste argumenter dengang NemID blev vedtaget, at en sådan centraliseret løsning var nødvendig fordi man ikke kunne regne med at brugernes pc var sikker, og at de gebærdede sig korrekt?

Sådan husker jeg det også. Jeg har et udklip fra Børsen hvor bankerne udtaler at efter NemID er det slut med netbank indbrud. Et par måneder senere var det nogen som lavede det angreb som var blevet skitseret i gentagne version2 indlæg.

En anden "fordel" ved NemID, som blev kraftigt fremhævet "engang", var at der ikke skulle installeres noget på computeren. Det er også længe siden at jeg har hørt det argument blive fremført.

Ole Elkjær Christensen

Jeg undrer mig over hvor mange reelle indbrud der har været via nemid der skyldes sårbarhederne i java. De indbrud jeg kender til er "man in the middle" indbrud, som vil kunne ske uanset om det er skrevet i javascript eller hvad ved jeg. Det er vel nærmest hvad man kan kalde "errors by design".
Er det sådan at der egentlig bare er en hetz mod java og Oracle. Man kan godt få det indtryk, for der er ikke nogen der har været ude og sige at vi alle skal afinstallere MS Office selv om det også lige har en dag-0 sårbarhed.
Jeg kan jo kun undres :-)

Thue Kristensen

Jeg undrer mig over hvor mange reelle indbrud der har været via nemid der skyldes sårbarhederne i java. De indbrud jeg kender til er "man in the middle" indbrud, som vil kunne ske uanset om det er skrevet i javascript eller hvad ved jeg. Det er vel nærmest hvad man kan kalde "errors by design".

Sårbarhederne i Java gør brugerens computer modtagelig for at blive overtaget af onde hjemmesider. Det gør ikke NemID-login i banken mindre sikker i sig selv, så længe ens computer ikke er blevet overtaget endnu. Det er der mange medier som ikke er i stand til at formidle.

Finn Christensen

Ret skal være ret. I 2008 var væksten af smartphones nok høj, men markedsandelen var meget lav...... Derfor er det heller ikke underligt at det offentlige valgte som de gjorde. Fejlen ligger mere i, at man ikke har fået det ændret efterhånden som vi er blevet klogere.

Banker og/eller monopoler bliver ikke 'klogere' - de er kun en forretning, hvor der regnes på indtægter minus udgifter.

Bjarne Corydon og Stine Brix gør jo samme beregning, men her blot i politik (stemmer)... for Stine Brix giver det nemme stemmeindtægter, da hun kun genbruger almen kendt og offentlig viden, og Bjarne Corydon forsøger at undgå statslige udgifter i mange mio. klassen, da bankerne jo ikke arbejdet gratis. Samt Bjarne Corydon bruger jo i statslig regi også bankerne som en forlænget arm, da banker jo har snablen direkte ned i folks lommer :)

"Vi gør det vi er bedst til" - Nets, der driver Dankortet og NemID (= Bankerne), er af Konkurrence- og Forbrugerstyrelsen blevet pålagt at sætte gebyret ned ved betaling med Dankort på nettet... http://www.version2.dk/artikel/nets-tvinges-til-saenke-prisen-dankortkoe...

Ole Elkjær Christensen

Se det var det jeg vil frem til. Det vil sige at hvis ens pc er blevet overtaget p.g.a. en dag-0 sårbarhed i MS Office, Adobe Flash, .net eller javascript i en af diverse browsere, så er du aligevel på den og sårbar overfor indbrud i din netbank.

Jeg er enig i at Oracle burde få styr på sikkerheden i deres browser plugin til java, men det har næppe ret meget med den generelle sikkerhed i nemid at gøre, eller om java er det korrekte valg. Så vidt jeg kan se er risikoen i store træk den samme uanset om det er java, javascript eller hvad ved jeg for risikoen kommer i virkeligheden fra alt det software du har indstalleret og de sider du får besøgt på din færden rundt på internettet som kan aktivere det software du måtte have indstalleret.

Jesper Lund

Jeg er enig i at Oracle burde få styr på sikkerheden i deres browser plugin til java, men det har næppe ret meget med den generelle sikkerhed i nemid at gøre, eller om java er det korrekte valg.

Java applets på websites bruges næsten ikke mere, og det logiske ville derfor være at afinstallere Java browser plugin som en forebyggende sikkerhedsforanstaltning. Det kan vi bare ikke i Danmark.. på grund af NemID.

Jeg tror vitterligt ikke at jeg har set Java på websider i de sidste 1-2 år bortset fra NemID ting.

Kent Trustrup

Hej,

i går d. 31/1 lukkede Apple for Java på Mac 10.6 og deaktiverede Java på Mac 10.7 + 10.8.

Hvis i skal hjælpe nogle stakler med at få det til at virke igen, så se her.

Løsning 1:
I terminalen (Finder -> Programmer -> Hjælpeprogrammer -> Terminal)

For at genaktivere Apple Java 1.6 (10.6):

sudo /usr/libexec/PlistBuddy -c "Delete :JavaWebComponentVersionMinimum" /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

eller

sudo defaults write /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist JavaWebComponentVersionMinimum \"1.6.0_37-b06-434\"

Og

To re-enable Oracle Java 1.7u11 (10.7 + 10.8) edit the "/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist" using vi in Terminal and change:

1.7.11.22
to:
1.7.11.19

Løsning 2 (10.7 + 10.8):
Download Java 1.7.12 (Beta version) fra Oracles side: http://jdk7.java.net/download.html

Bare en kort information, for at hjælpe stakkels Apple brugere derude.

Henrik Schmidt

Bare en kort information, for at hjælpe stakkels Apple brugere derude

Det er en dårlig idé at fedte med OS X's virus/malware beskyttelse. Der er ingen support fra Apple og det er ikke til at sige, hvilken effekt det har, udover at gøre det muligt at benytte Java Pluginnet i Safari.

Den bedste og nemmeste løsning er, efter min mening, at installere Firefox. Den respekterer ikke XProtect listen.

Kim Storm

Hvem garanterer overhovedet at Java er "sikkert"?

Det kan da godt være at PET bruger Java appletten til at lytte med hos folk, der bruger nemid, men hvad med de bagdøre som kunne ligge i selve Java plugin'et (eller generelt i Java runtime).

Hvad vil nemid sige om sikkerheden, hvis Oracle sælger Java til Huawei ?

Kristian Jensen

Jeg er enig i at Oracle burde få styr på sikkerheden i deres browser plugin til java, men det har næppe ret meget med den generelle sikkerhed i nemid at gøre, eller om java er det korrekte valg. Så vidt jeg kan se er risikoen i store træk den samme uanset om det er java, javascript eller hvad ved jeg for risikoen kommer i virkeligheden fra alt det software du har indstalleret og de sider du får besøgt på din færden rundt på internettet som kan aktivere det software du måtte have indstalleret.


Det er ikke helt korrekt - På nuværende tidspunkt findes der kun én main-stream implementering af java til windows platformen. Det medfører at hvis der findes et hul i Oracles java så er alle Windows brugere fucked. Havde DanId implementeret NemID i ECMA/javascript, ville disse brugere kunne skifte til chrome eller firefox hvis man fandt et hul i ie.

Men du har ret i at det ikke er det største problem med NemID. Det helt store problem er at de har implementeret et system med "single point of failure". En PKI-løsning ville have stillet os betydeligt bedre, selv hvis det blev implementeret i java.

Ole Laursen

Stine Brix lyder i øvrigt til at have fattet problematikken.

Enig. Nyheden i det her er nok ikke så meget at embedsvældet ikke vil indrømme at tidligere vurderinger nok var af for dårlig kvalitet - det kunne jo risikere at koste nogen jobbet. Nyheden er at vi har en person på Christiansborg der faktisk forstår emnet. Man burde jo udnævne hende til minister.

Morten Hattesen

@Lasse Enevoldsen:

Så mit forslag: Sæt statens UNI-C på opgaven med at skrive en java-klon, som så bruges til at køre NemId

Jeg håber inderligt ikke du mener det alvorligt!

Der ville ikke kunne træffes en mere tåbelig beslutning, end at udvikle endnu en Java implementering, som man forventer vil kunne levere en "mere sikker" applet plugin i alle kendte browsere!

Det vil ikke løse mobil-enhedsproblemet.

Og hele pointen er, at der INGEN GRUND er til at behøve en tredieparts plugin til browseren, overhovedet.

Lasse Enevoldsen

@Thomas Bundgaard
Hvorfor?
fordi UNI C så ikke skal lave et program, der skal tusind andre ting end køre NemID. Herudover vil der være mange andre fordele. Blandt andet at man så selv har kontrol over og adgang til kilde-koden. Jeg synes det er lidt flovt, at man som Dansk Statsborger skal sidde og vente på at Oracle "gider" lappe sikkerhedshullerne.
Derfor.

Lasse Enevoldsen

@Morten Hattesen
Jeg snakker ikke om nogen "java implementering". det er kun i din egen fantasi. Jeg snakker om et program der kan det som NemID bruger java til og IKKE andet end det. Det sidste er meget vigtigt. Når det er på plads, har NEMID ikke længere brug for Java af nogen art.
Hvorfor du er så meget imod dette forslag, må du gerne uddybe. Der er ikke noget forsøg på nogen uddybning af noget som helst i din kommentar, bare end masse følelsesladet modstand. Hvad skal vi bruge det til? Kom med nogle forklaringer i stedet for.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Programming in HTML5 with Javascript and CSS3 [20480]

Hvornår: 2015-10-01 Hvor: Østjylland Pris: kr. 19975.00

PowerPoint course experienced (conducted in English)

Hvornår: 2015-12-22 Hvor: Storkøbenhavn Pris: kr. 2950.00

Projektledelse

Hvornår: 2015-10-06 Hvor: Fyn Pris: kr. 18400.00

Modeldrevet. komponentbaseret udvikling af indlejret software

Hvornår: 2015-08-21 Hvor: Nordjylland Pris: kr. 18000.00

SharePoint 2013 Power User [55028]

Hvornår: 2015-10-01 Hvor: Østjylland Pris: kr. 7975.00