DanID’s anbefaling til Java-truede NemID-danskere: Gør som I plejer

Jeg bruger google chrome som min "rigtige" browser.
Der har jeg slået java fra i chrome://plugins/

Når jeg skal på netbank eller andre slemID sider starter jeg IE som sjovt nok har min netbank som start side.

Jeg orker seriøst ikke til at skulle lave en VM bare for at kunne bruge slemID.

Når jeg skal på netbank eller andre slemID sider starter jeg IE som sjovt nok har min netbank som start side.

Hvordan har du fået IE til at køre på en Linux-maskine?

@work bruger jeg min maskine til at kode .net programmer til windows dagen lang.
@home bruger jeg min maskine til at game på og intet andet.

Jeg er meget stor fan af linux og kan se mange fordele ved det men som tingene står lige nu er linux i kassen med ligegyldige styresystemer jeg sammen med DOS, OS2-Warp, OS X osv osv osv...

:-)

Jeg vil gøre præcis som jeg plejer - ikke bruge NemID.

Jeg vil gøre præcis som jeg plejer - ikke bruge NemID.

BIL ANALOGI FOR THE WIIIIN!
Der er huller i vejen og kommunen gider ikke anlægge en ordentlig vej... Så nu har jeg droppet at køre i bil....

Jeg ville ønske, jeg havde fået den slags råd tidligere, men det er jo stadig ikke for sent at følge det.

Derfor vil jeg straks afinstallere enhver form for firewall og antivirussoftware til Windows. Det er jo Microsoft, der har lavet det, og de er vel interesserede i at rette fejl. Det er ikke noget problem at køre software på en usikker platform.

<facepalm>

Konen har alligevel beslaglagt bilen.

Det er Oracles software og dermed også Oracles problem på samme måde som huller i Windows er Microsofts problem og huller i Ubuntu er Cannonicals problem.

Så kan man så spg. dem om den valgte løsning er lavet rigtigt hvis dean afhænger af et eller andet program X som potentielt kan have huller (men på den anden side så har vi set huller i alt software).

For at fortsætte bilanalogierne: er biler bygget rigtigt hvis ulykker med personskade fortsat sker ?

Ville så hellere at de ikke var afhængige af noget addon til en browser, om det så er Java, ActiveX eller noget andet for at køre, hvis de bare havde lavet det via helt almindelig html som andre banker fint kunne gøre tidligere, koblet sammen med en ekstern token.

Browseren kan selvfølgelig også have sikkerheds huller, men ved at skære unødvendige browser addons væk minimerer man da trods alt sikkerheds risikoen.

Derfor synes jeg sagtens man kan påstå det er NemID/DanIDs problem at de har valgt at udsætte brugerne for yderligere risiko ved deres valg af deres løsning, det er for nemt bare at smide ansvaret hen på Oracle.

Derfor synes jeg sagtens man kan påstå det er NemID/DanIDs problem at de har valgt at udsætte brugerne for yderligere risiko ved deres valg af deres løsning, det er for nemt bare at smide ansvaret hen på Oracle.

+1

Derfor synes jeg sagtens man kan påstå det er NemID/DanIDs problem at de har valgt at udsætte brugerne for yderligere risiko ved deres valg af deres løsning

Dette skal ikke mindst ses i lyset af, at DanID oprindeligt hævdede, at brugerne ikke skulle installere applikationer på deres PC, men siden valgte at benytte sig af Java.

DanID udtaler

Samtidig overvåger vi bankerne og netbankerne for at se, om vi kan stoppe eventuelle forsøg på netbanksmisbrug. Det gør vi jo hele tiden, det har ikke så meget lige med Java at gøre, for der kan jo komme virus ind på alle mulige måder.«

Det er meget godt. Bankerne har 10-15 års erfaringer med alle mulige angreb på netbanker, så de problemer som dette Java hul skaber er givetvis håndterbare for DanID.

Men NemID (når det er OCES NemID) bruges andre steder end i netbankerne.

Kan vi få en tilsvarende erklæring af det offentlige, og andre som bruges OCES NemID, om at de har forhøjet beredskab med at overvåge mistænkelig anvendelse af NemID på grund af dette Java hul?

Der er jo tradition for - i branchen - at man ikke tager ansvar for ulykker forårsaget af fejl i produktet. Man bytter bare til en nyere version; DanID har jo ikke andre muligheder end at skrotte deres eget produkt eller skyde skylden på en underleverandør, nemlig Oracle. Tough call :-D

Her er en anden bil analogi: DanID anbefaler, at man kører videre, som om intet var hændt, selvom bilen - nårsomhelst - kan explodere.

Nu siger de kloge at man ikke må skifte til java 1.6_33 (som ikke er påvirket af dette exploit)... Hvorfor er det ikke en mulig midlertidigt svar på dette exploit ?

Er der upatchede exploits i 1.6_33 ?

(eg. Den version af java Mac os x stadig benytter mm man har lavet ni ja tricks og installere direkte fra oracle (hvor man skal ind på oracle og downloade) hvor hvis man går ind på java.com sendes man stadig til 1.6_33 fra Apple eller dobbeltklikker på noget java og den autoinstalere java.

Desuden er der ekstra sikkerhed da java bliver slået fra automatisk efter lidt tid hvor man ikke har benyttet det...

Så er der et problem med 1.6_33 eller er det bare dumme konsulenter der ikke er interesseret i andet end at lave ballade og få opmærksomhed... Ellers er det jo ret simpelt at lave et rollback)

I Google Chrome kan man under indstillinger aktivere click-to-play for alle plugins (dvs java og flash). Dvs det er indbygget, man behøver ikke en udvidelse så som flashblock eller noscript.

noscript til Firefox kan gøre java-applets click-to-play, tror jeg nok.

Det samme kan man i øvrigt i opera.

Godt så... kan jeg aktivere klik to play for et plugin af gangen? (i chrome)... At gøre det til alle mine plugins er no go...

Kan ikke svarer på vejne af Chrome, men i Opera kan du kun gøre det for plugins generelt.

Hvor mange plugins har du? jeg kan nærmest ikke tænkte på andre end java og flash, og begge vil da være rimelige fornugtife at blokere, i hvert fald ud fra et sikkerhedsmæssigt synspunkt.

Go til chrome://settings/ , og søg på "click to play" i "search settings"-søgeboksen.

"chrome://plugins/" siger

Flash
Remoting Viewer
Native Client
Chrome PDF Viewer
Adobe Acrobat
Google Talk
Google Earth Plugin
Google Update
Java
Silverlight

Og niks de skal ikke være klik to play alle sammen så slider jeg min finger op i løbet af en arbejdsdag.... (Adobe Acrobat og JAVA pluginnet er for øvrigt disabled)

Go til chrome://settings/ , og søg på "click to play" i "search settings"-søgeboksen.

Læs nu lige mit spørgsmål... click to play ET PLUGIN AF GANGEN! ikke alle sammen.

Internationale sikkerhedseksperter anbefaler at man ikke har Java installeret og aktiveret - og hvis man har brug for Java, så gør det i en virtuel maskine eller bruger en browser kun til Java-brug. Er det noget, I vil anbefale? ----------------------------------------------- »Det er ikke det, vi anbefaler. Det må brugerne gøre, hvis de gerne vil gøre det, men vi anbefaler hellere, at de er opmærksomme, når de bruger deres NemID, og så skal vi nok holde øje med netbankerne.«

Hvad er det for et nonsens-svar fra DanID's side? Hvordan skulle det at være "opmærksom når man bruger NemID" beskytte mod zero-day sikkerhedshuller i java?

Det er som om DanID er fuldstændigt blinde for, at brugeren har andre sikkerhedshensyn end selve øjeblikket hvor han logger ind via NemID. Derfor er DanID ligeglade med hvor mange sikkerhedshuller Java har.

Click-to-play findes også i Firefox, gå ind i about:config og søg efter "click_to_play". Det er dog stadigt i test fasen så vidt jeg ved.

Hvis jeg enabled click-to-play i Chrome eller Firefox, så kan jeg ikke få nemid til at fungere. Jeg får en besked om at Java ikke er installeret og får ikke nogen mulighed for at klikke og enable plugin'et.

I Chrome er der et "plugin blokeret" ikon til højre i adresselinjen. Det kan man altid klikke på.

OG! at kritikken af DanIDs løsning (centralt lagrende private nøgler og priviligerede Java applets) gang på gang blev frejdigt affejet med at det var helt og aldeles frivilligt om man ville bruge NemID som OCES signatur. Man kunne bare sige nej.
Seneste skud på stammen i en lang række ting man åbenbart må undværre som borger uden NemID er muligheden for at tilmelde sig nettomålerordningen.

Det tager nu ingen tid at smække en VM op til NemID - en VM giver i øvrigt flere fordele, bl.a. at du slipper for at have eksekverbare filer forklædt som billedfiler til at datamine din computer.

Vælger du Linux til din VM kan du bruge IcedTea i stedet for Oracle Java og dermed slippe for Oracle's langsommelige fejlretningsprocedurer.

IcedTea?
Her gik jeg i den vildfarelse af at det kun var den "officielle" Java fra Oracle, som spillede med NemID.
Vil det iøvrigt sige at det fundne sikkerhedsproblem er specifikt for Oracle Java?

OpenJDK som er en open source implementation af Java fungere upåklageligt sammen med Ubuntu og sandsynligvis også andre Linux distrobutioner. Jeg har ivertfald brugt det i godt et år uden problemer.

Jeg er ikke helt sikker på om OpenJDK også er ramt af sikkerhedsbristen, men en blog som DK-CERT linker til, skriver følgende:

http://blog.fireeye.com/research/2012/08/java-zero-day-first-outbreak.html

Users of Mac and Linux might choose OpenJDK, an open source implementation of the JRE provided by Oracle.

Jeg har lavet en Apparmor (mandatory access control) profil til OpenJDK, så jeg har fuld kontrol over hvilket filer NemID tilgår på min computer. Jeg har spærret for alt skrive samt læseadgang til mine private filer og sørget for at NemID får et absolut minimum af rettigheder til de filer som er nødvendige at få NemID til at fungere. Prøver NemID f.eks. at tilgå min dokument mappe, vil adgangen blive spærret og samtidig vil det blive skrevet i loggen, så jeg kan se at det er forsøgt.

Dette er lidt mindre sikkert alternativ til en VM, men knapt så besværligt som at skulle holde flere systemer opdateret.

Firefox har en on-click add-on "QuickJava" for det meste af ragelset.. fungerer fint sammen også med noscript og øvrige (har brugt den i lang tid nu)
https://addons.mozilla.org/en-US/firefox/addon/quickjava/

QuickJava is a Firefox extension that allows you to easily enable/disable Java, JavaScript, Images, Flash and more directly from the toolbar and/or status bar!

Det kan godt være at jeg kommer hovedkulds ind i nemid debatten. Men når man læser artiiklen her og andre skriverier i andre medier så er der uværgeligt en tanke der presser sig på: hvorfor bruge Java, når man kunne have skrevet det i et platformsafhængigt sprog ?

Jeg mener: jo færre mellemled der er i et sikkerhedsfirma, der passer på dit hus, jo mindre chance er der for at der er kriminelle tilstede i organisationen....og jo hurtigere kan du få afdækket risikoen når uheldet er ude.

Bevares det ville have taget mindst fire gange så lang tid at udvikle, men nu er det jo ikke et login til en idrætsklubs hjemmeside vi taler om.

/peter j bruun

Problemet med Java er ikke at det ikke er platformuafhængigt (well... i praksis er det nok begrænset til de platforme Suns/Oracles java kører på, men i teorien...)

Problemet med Java er at det er unødvendigt og det er unødvendigt at køre det som priviligeret kode i browseren.
Princippet i Java i browseren er sådanset godtnok. Lav et sprog, der kan køre ens alle vegne og køre i en sandkasse.
Problemet er blot at med de andre mere simple teknologier, der allerede er i alle browsere (som f.eks. javascript) er Java unødvendigt til at lave et åben standard basere digitalt signatur system - hvilket burde være det Danmark havde ønsket sig.
Det er imidlertid ikke det DanID har ønsket sig.
Samtidig er Java stort og komplekst og - som vi kan se - plaget af sikkerhedshuller, der rammer meget bredt, fordi det (i modsætning til Javascript implementationer) i praksis er en mono-kultur.
Mange brugere har ikke brug for at have Java, hvis det ikke var for NemID. DanID påfører altså hele Danmark en unødvendig sikkerhedsbyrde.

Og for at gøre det helt absurd, har DanID så valgt at kræve at deres Java-kode skal bryde ud af sandkassen og køre som priviligeret applet. Det skal brugerne så sige ja til når man installerer NemID. Det er også totalt unødvendigt og gør i praksis DanID til intruder på brugernes computere.

Man har med NemID afskrevet sig urimelig meget kontrol over sikkerheden på ens computer.

... og så er vi slet ikke nået til at snakke om de centralt lagrede private nøgler.

@peter mogensen: Tak for uddybning. Det lyder som om man stadig godt kunne undre sig over den valgte arkitektur, og de deraf følgende sikkerhedsforringelser. Min tanke opstod fordi jeg ligenu sidder på en iOS enhed, og de klienter er naturligvis ikke ramt af problemet.

Det er i det hele taget hovedrystende, at man beder almindelige mennesker, der blot kalder IE7 for slet og ret "internettet", om at køre to forskellige browsertyper og deaktivere et plugin for andre end nemid sider i den ene...men det kommer sig altsammen fra et fejlslagent valg af arkitektur.

/peter j. bruun

...man kunne lige så godt sige at C++ eller .NET er unødvendigt.
1. Java, som alle andre prog. sprog, kan erklæres unødvendigt, det er alligevel meget bedre at skrive direkte i maskinkode!
2. Fejl sker! Ved flere komponenter er der flere fejlmuligheder.
3. Java, i modsætning til de fleste andre prog. sprog, giver mulighed for at lave løsninger som kører på flere forsk. systemer.

Men alt det er en hel anden debat.
Sagen er at NemID, som det er lavet, slet ikke behøvede være lavet i Java.
Den dybere forklaring på Java i NemID skal nok findes i at man ville lave en løsning som let kunne udvides til en rigtig digital signatur løsning.

Nej, jeg er ikke fortaler for NemID!
Til gengæld er jeg ret stor fortaler for Java... for jeg kan flytte og afvikler Java applikationer på forsk. platforme uden det helt store ståhej.

@Maciej Szeliga: Det var ikke javas eksistensbertigelse jeg var ude efter. Blot ønsker jeg at en hel nations IT sikkerhed bliver Implementeret med så få risikoled i sikkerhedskæden som overhovedet muligt....Det er et ældgammelt dilemma vi drøfter her: "who will guard the guards ?".

Men der må ikke herske tvivl om at jeg er stor fan af platformsuafhængige tiltag, herunder java, for det sparer masser af arbejde når det anvendes i de rette sammenhænge

/peter j. bruun

@Maciej Szeliga

Du har tydeligvis slet ikke forstået problemet. Prøv at læse igen. Nøgleord: "mono-kultur", "priviligeret kode", "kan løses simplere".

Ad 1) Nej. Man kunne ikke ligeså godt sige at C++, .Net eller noget andet er unødvendigt. Jeg har intet imod Java. Jeg har blot noget imod at løse den opgave DanID fik med Java - særlig priviligerede applets. Og nej, man kunne ikke ligeså godt skrive det i maskinkode. ... du kan forhåbentlig selv regne ud hvorfor det er et rigtig dårlig argument imod min kritik.
Ad 2) Ja. Fejl sker. Men fejl i en mono-kultur er et større problem en blot fejl i tilfældige implementeringer rundt omkring. Og en selv-skabt mono-kultur for en masse brugere der slet ikke havde brug for det software uden NemID er en rigtig dårlig ide. - uanset hvilken teknologi man laver det med. Jeg har ikke noget specielt horn i siden på Java.
Ad 3) Du modsætning til f.eks. Javascript?

Jo det har jeg og det skriver jeg også længere nede.

Selvf. er fejl i en monokultur mere omfattende, Microsoft monokulturen er det bedste eksempel på det.

Jeg syntes bare at der bliver hakket lige pt. mere på selve Java end på at NemID kører i Java.

Ja - det fremgik. - og det var derfor jeg sagde at du tydeligvis ikke har forstået min kritik. Jeg hakker ikke på selve Java.