Få overblikket: Derfor er kritisk Javahul vigtigt

Et sikkerhedshul i Java har haft betydning for alle de 4 millioner danskere, der bruger NemID. Se begivenhedernes udvikling her.

Det hele startede torsdag den 10. januar om eftermiddagen. Version2 havde læst et indlæg hos den anerkendte it-sikkerhedsblogger Brian Krebs, der bekræftede, at it-kriminelle aktivt udnyttede et ikke-lukket sikkerhedshul i Java.

Læs også: Efter sikkerhedshul: Ekspert beder dig fjerne Java fra computeren

Næste formiddag havde Version2 den brede, danske vinkel klar: Da NemID benytter Java som underliggende teknologi, er alle fire millioner danske NemID-brugere i fare for at havne i kløerne på de it-kriminelle.

Læs også: Alarm: 4 millioner NemID-brugere truet af kritisk Java-hul

Og selvom Version2 i udgangspunktet henvender sig til it-professionelle, var det på sin plads med en artikel, der i nede på jorden-vendinger forklarede, hvordan man midlertidigt deaktiverer Java på sin computer.

Læs også: Sådan sikrer du dig mod kritisk Java-hul

Herefter gik det stærkt. Adskillige medier bragte Ritzaus citathistorie af Version2-artiklen, og TV 2 News fandt tid til at interviewe Version2's redaktør om problemet, der - som så meget andet - skyldes de store pengesummer, der nu til dags er i sikkerhedshuller.

Læs også: Kritisk Java-hul er kæmpe millionforretning

Allerede om mandagen havde Oracle lappet sikkerhedshullet. Version2 kunne derfor atter guide hr. og fru NemID-bruger igennem opdateringsprocessen.

Læs også: Her er lappen til kritisk Java-hul – sådan gør du

Op ad formiddagen mandag kunne Version2 dog berette, at danske sikkerhedseksperter trods patchen på Javahullet stadig advarede mod at have Java slået til i browseren

Læs også: Trods opdatering: Sikkerhedsfirma advarer stadig mod Java i browseren

Men historien ville ikke dø. Nu viste det sig, at hullet havde stået åbent siden oktober 2012, og at Oracle allerede dengang var blevet advaret om det.

Læs også: Sikkerhedsfirma: Oracle kunne have lukket kritisk hul i oktober 2012

Og for at føje spot til skade kunne Brian Krebs, sikkerhedsbloggeren der først skrev om Javahullet, nu oplyse, at endnu en 0-dagssårbarhed i Java var sat til salg for den nette sum af 28.000 kroner.

Læs også: Nu igen: Nyt Java-sikkerhedshul sat til salg for 28.000 kroner

Oven på den store opdaterings-øvelse, som NemID-danskerne havde været tvangsindlagt til, skrev Version2 historien om, at mange især ældre har svært ved holde deres pc'er opdateret, når teksten på hjemmesiderne er skrevet på engelsk. Og det er faktisk et krav, at man holder sin pc opdateret, hvis man bruger NemID

Læs også: Java-opdatering på engelsk spænder ben for NemID-brugere

Endelig fulgte Version2 som det eneste medie op på, hvor galt det så var gået. Og selv om der er en vis usikkerhed forbundet med tallet, så tyder meget på, at højst godt 500 danskere havde fået malware som direkte følge at sikkerhedshullet i Java.

Om det relativt lave infektionstal skyldes rettidig omhu i form af intens mediedækning, eller om der var tale om en regulær omgang ulven kommer, står hen i det uvisse.

Læs også: Så få danskere blev ramt af kritisk Javahul

Kommentarer (7)

Thue Kristensen

Mit indtryk fra Nets' svar på min klage til Datasynet er, at NemID bruger af Java i stedet for ECMAScript primært for at kunne lave ekstra sikkerhed mod IT-kriminelle, som Java's fulde adgang til maskinen giver (gif-filer, etc).

Endelig fulgte Version2 som det eneste medie op på, hvor galt det så var gået. Og selv om der er en vis usikkerhed forbundet med tallet, så tyder meget på, at højst godt 500 danskere havde fået malware som direkte følge at sikkerhedshullet i Java.

Nu er så spørgsmålet, om skaden ved (højst) 500 kompromitterede PCer er mere eller mindre end den skade som NemID's ekstra sikkerhed via Java forhindrer. Plus selvfølgelig alle dem som er kompromitterede via andre Java-sikkerhedshuller, plus dem som ikke opdaterer deres Java for det nuværende sikkerhedshul. Jeg tvivler stærkt på det.

Plus at det selvfølgelig er umuligt for NemID at have effektiv beskyttelse hvis PCen allerede er overtaget, som illustreret af Ken Thompson's Reflections on Trusting Trust. Det stopper kun de dumme IT-kriminelle.

Dennis Krøger

Du glemmer "hvor mange af de 500 ville alligevel have haft Java browser plugin'et installeret hvis ikke NemID krævede det".

Udover at det er tåbeligt at NemID er afhængigt af Java's browser plugin, synes jeg at det er en kæmpe fejl af Oracle, at Java browser plugin'et ikke er en separat installation. De fleste har ikke brug for det, og det er oftest det der der sætter Java i et dårligt lys.

Det kræver selvfølgelig at de indser at de fleste er ligeglad med applets, og at JavaFX alligevel ikke kommer nogle veje.

Patrick Mylund Nielsen

som NemID's ekstra sikkerhed via Java forhindrer

Er ikke overbevist om, at det kan forhindre noget, der faktisk er målrettet mod NemID, da det kører som samme bruger--og selv hvis det ikke gjorde det er det ofte trivielt at eskalere sine rettigheder når du først kan eksekvere kode.

Plus at det selvfølgelig er umuligt for NemID at have effektiv beskyttelse hvis PCen allerede er overtaget

Med mindre der er mere end én terminal involveret i hele processen (login, overførsel/visning af beløb/modtager, osv, bekræftelse, osv.), og brugeren ikke kan installere/køre sine egne programmer på den sikre terminal... Det er selvfølgelig ikke tilfældet nu.

som illustreret af Ken Thompson's Reflections on Trusting Trust.

Eller også illustrerer den at du ikke kan stole på noget software eller hardware, open-source eller closed-source, NemID inklusive :-)

Kristian Jensen

Eller også illustrerer den at du ikke kan stole på noget software eller hardware, open-source eller closed-source, NemID inklusive :-)


100% tillid kan formentlig ikke opnås, men grader af sikkerhed kan godt forsvares. åbne standarder ville give mulighed for at vælge en leverandør jeg stoler på. Spørgsmålet er ikke så meget om NemID skulle være implementeret i java eller ecma-scrip eller om DanId skulle have implementet deres løsning under en FLOSS licens i stedet en proprietær løsning. Det handler om at skabe et acceptabelts niveau af sikkerhed.
Hvis DanId havde implementeret en standard PKI løsning ville vi som borgere kunne opnå et vist niveau af sikkerhed, men med en closed source applet til et system med single point of failure over en ukendt SSO protokol, har vi reelt ingen sikkerhed overhovedet.

Update Det er selvfølgelig ikke helt korrekt. Hvis er man kører NemID i en virtualbox sikre man sig imod at staten/PET/... kan se hvad der ligger på ens reelle harddisk, og ved at bruge icedteas java plugin under linux/BDS er der en vis sandsynlighed for at man ikke rammes af det malware som er rettet specifik mod Oracles java.
Men lige gyldigt hvor meget eller lidt man foretager sig lokalt vil vi aldrig kunne stille noget op når DanID bliver hacket og alle vores identiteter flyder ukontrolleret rundt i cyberspace :-)

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

MIKE FLOOD

Hvornår: 2015-10-07 Hvor: Nordsjælland Pris: kr. 7800.00

SQL Server kursus Analysis Services Tabular Model

Hvornår: 2015-10-01 Hvor: Storkøbenhavn Pris: kr. 6800.00

Varmeinstallationer (DS 469)

Hvornår: 2015-09-15 Hvor: Midtsjælland Pris: kr. 3180.00

It og forretningsudvikling i små og mellemstore virksomheder

Hvornår: 2015-09-01 Hvor: Sydjylland Pris: kr. 15000.00

Controller-kurser

Hvornår: 2015-10-21 Hvor: Storkøbenhavn Pris: kr. 17990.00