Alarm: 4 millioner NemID-brugere truet af kritisk Java-hul

Danske sikkerhedseksperter advarer om nyt sikkerhedshul i Java og beder danskerne at slå Java fra. NemID-firmaet Nets DanID ser ingen grund til at følge rådet.

Hvis du er en af Danmarks små fire millioner brugere af NemID, skal du være ekstra meget på vagt i disse dage.

Sådan lyder vurderingen fra teknisk direktør Thomas Kristensen fra it-sikkerhedsfirmaet Secunia efter nyheden om et alvorligt sikkerhedshul i Java, som NemID kræver for at fungere.

Læs også: Efter sikkerhedshul: Ekspert beder dig fjerne Java fra computeren

Sikkerhedshullet kan nemlig udnyttes af it-kriminelle, som kan overtage kontrollen med din pc og eksempelvis aflytte dine indtastninger i al ubemærkethed, når du logger på netbanken.

Dermed er der i dansk sammenhæng tale om en sprængfarlig cocktail, der kan åbne op for angreb, hvor danske netbankkunder bliver frarøvet penge.

Læs også: Danske Bank har sporet 700.000 kroner stjålet ved NemID-hacking

»Vi har stort set alle Java i den browser, vi bruger til hverdag, fordi vi alle sammen er tvunget til at bruge NemID. På den måde er danskerne forbandede, når sådan noget sker,« siger Thomas Kristensen til Version2.

Sikkerhedshullet rammer alle udgaver af Java 7, som er den seneste version af produktet fra Oracle. Selskabet er endnu ikke klar med en lap til sikkerhedshullet, og dermed er der tale om en såkaldt 0-dagssårbarhed.

Panderynkerne hos folk som Thomas Kristensen ville være langt mindre, hvis ingen it-kriminelle endnu havde fundet ud af at udnytte sikkerhedshullet. Men udenlandske tilbagemeldinger viser, at hullet udnyttes aktivt i flere sammenhænge.

Lige nu findes der fungerende exploits i de to hackerværktøjer Blackhole og Nuclear Pack, og ifølge Thomas Kristensen har bagmændene i en periode tjent penge på at sælge dem videre til andre.

Men sådan et værktøj i hånden kan it-kriminelle gennemføre drive-by-angreb, hvor intetanende ofre får installeret malware på deres pc, når de besøger en inficeret hjemmeside. Det er så let som 'drag-and-drop' for de it-kriminelle, siger Thomas Kristensen.

Og det er slet ikke utænkeligt, at sårbarheden kan blive udnyttet herhjemme, for Danmark er på grund af de mange NemID-brugere særlig interessant, når it-kriminelle skal udnytte huller i Java.

»Danmark er ikke særlig interessant for it-kriminelle, der vil udnytte en 0-dagssårbarhed i eksempelvis Internet Explorer, fordi der er så stor spredning i de browsere, danskerne bruger. Problemet med NemID er, at man gør befolkningen meget homogen set med de it-kriminelles øjne. Det er en farlig cocktail,« siger Thomas Kristensen til Version2.

Han anbefaler danskerne enten at slå Java fra, hvilket kan gøres under programmets indstillinger, eller at bruge en særskilt browser til Java og NemID, når der for eksempel skal logges på netbanken.

Læs også: Sådan sikrer du dig mod kritisk Java-hul

»Den her sårbarhed bliver man nødt til at tage alvorligt. Det kan godt være, at du er tvunget til at bruge Java sammen med NemID. Men når du surfer til mere dagligdags formål, så skal du slå den fra,« siger Thomas Kristensen til Version2.

Nets' anbefaling uændret: Hold dine programmer opdateret

Hos den offentlige it-sikkerhedstjeneste DK-CERT er man på linje med Secunia.

»Vi er nødt til at have en særskilt browser, som kun benyttes til NemID. Derudover handler det om at holde øje med, hvad der sker fra Oracles side (mht. en opdatering, red.). Så danskerne bliver nødt til at følge med i, hvad der kommer i pressen om det her, for det er alvorligt,« siger leder af DK-CERT, Shehzad Ahmad, til Version2.

Hos Nets DanID, der står bag NemID, tager man truslen alvorligt, siger pressechef Søren Winge. Men virksomheden er alligevel ikke enig i anbefalingerne fra Secunia og DK-CERT:

»Vores anbefaling er den samme, som den har været hele tiden, nemlig at man sørger for at holde sine programmer opdateret til nyeste version,« siger pressechef i Nets, Søren Winge, til Version2.

Men det særlige ved denne sårbarhed er jo, at den også rammer den allernyeste version af Java. Så den anbefaling gælder vel ikke i den aktuelle sag?

»Nej, det gør den ikke, så længe sikkerhedshullet ikke er lappet. Det forventer vi så, at det bliver så hurtigt, som Oracle nu kan gøre det. Normalt opdaterer de jo løbende software, når der opstår sikkerhedshuller,« siger Søren Winge.

Så I er ikke enig i ekspertanbefalingen om, at man enten skal slå Java helt fra eller bruge det i en særskilt browser?

»Nej, vi mener, at man kan bruge sin computer, som man plejer. Vi kan selvfølgelig godt følge argumentationen, men det er ikke en anbefaling, vi kan give. Vi mener ikke, at sikkerhedsrisikoen er til stede for, at det er nødvendigt at skulle tage den forholdsregel,« siger Søren Winge.

Vi ved, at der findes fuldt fungerende exploits derude nu, som kan købes af it-kriminelle. Vi ved også, at de kan misbruge dem til eksempelvis at aflytte folks netbankoplysninger. Gør det ikke truslen meget reel herhjemme?

»Jo, man kan bestemt godt sige, at truslen er reel. Den angrebsform, vi tidligere har set, rimer på det her, du skitserer. Men vi mener dog stadig, at man kan skærme sig generelt ved at holde sine programmer opdateret. I den aktuelle sag forventer vi, at det bliver løst inden for en meget overskuelig tidshorisont (en opdatering fra Oracle, red.). Men vi mener ikke, at man hverken skal afinstallere Java eller holde op med at bruge det,« siger Søren Winge til Version2.

Du kan læse mere om, hvordan du slår Java fra i browseren, i Version2s gennemgang.

Læs også: Sådan sikrer du dig mod kritisk Java-hul

Opdateret klokken 11.12 med kommentar fra DK-CERT.

Kommentarer (61)

Benni Bennetsen

Nu er der skrevet rigeligt om emnet, så vælger at dreje fokus her lidt..
"»Danmark er ikke særlig interessant for it-kriminelle, der vil udnytte en 0-dagssårbarhed i eksempelvis Internet Explorer, fordi der er så stor spredning i de browsere, danskerne bruger. "

Det passer jo ikke, hver gang man ser undersøgelse, eller jeg ser på egne tal, så står IE for 90% ca af browserne.. Så det er et meget sikkert mål at gå efter på højde med java ?

Erik Bruus

Til dette er der kun en ting at sige. Åhhhhhhhh. Kan vi dog ikke snart slippe for JAVA. "Det ville bår være dejli" som de ville have sagt i The Julekalender. mvh, Erik.

Dennis Krøger

Jeg fatter ikke hvorfor Oracle ikke bare dræber det skrammel plugin.

Gang på gang er der problemer med Java's browser plugin, som næsten ingen (udover NemID, fordi de er en flok paddehatte) alligevel bruger til noget.

På grund af deres stædighed får Java et dårligere og dårligere ry, på trods af at langt den største del af platformen ikke har de store sikkerhedsproblemer.

Keld Sørensen

... hvor er I henne ?
Skal hele samfundet lægges ned fordi I FRA STARTEN har godkendt brug af en løsning, som er BETYDELIG RINGERE end den, som allerede fandtes dengang ?

Det er dog utroligt - hvor længe skal vi betale jer løn for SÅ dårligt arbejde ?

GlemID ... få det dog lavet om - hellere i går end i morgen !

Robert Larsen

"Nej, det gør den ikke, så længe sikkerhedshullet ikke er lappet. Det forventer vi så, at det bliver så hurtigt, som Oracle nu kan gøre det. Normalt opdaterer de jo løbende software, når der opstår sikkerhedshuller"

Nu har de kriminelle jo kendt til sårbarheden længere end Oracle, så hvis man vil sikre sig imod 0days i Java, så skal man forhindre at Java kan bruges af andre sites end dem, man stoler på...banken og den slags.

Men det passer jo heller ikke, at Oracle opdaterer softwaren, når de lærer om nye sårbarheder. Trenden er da, at der går måneder, fra de hører om sårbarheder, og til der er en løsning klar.

Flemming Jønsson

@Benni

...
Det passer jo ikke, hver gang man ser undersøgelse, eller jeg ser på egne tal, så står IE for 90% ca af browserne..


90% alligevel - det tvivler jeg nu lidt på. Det er muligt dine besøgende hovedsageligt er IE brugere, men tager vi nu f.eks. fdim, som laver statistik for en hel del pagehits per måned i DK, så er tallet selvom vi lægger alle IE versioner sammen kun omkring 50%: Browser barometer fra FDIM

Benni Bennetsen

Hvor har du de tal fra ? De 60% plejer at være internationalt ? Danskerne er på vores websider, med helt almindelige brugere, vilde med IE, så længe man rent ser på desktop.
Flemmming: Der er blandet mobil data ind, går ikke ud fra det er relevant, når vi taler java.

Thomas Johansen

Jeg håber sådan et exploit her, bliver udnyttet så voldsomt, at branchen finder ud af det java ikke er løsningen.

Det er desværre ikke kun nemid der bruger java. Mange forskellige portaler/værktøjer til erhvervs livet bruger java desværre.

Flemming Jønsson

Ud over NemId login-appletten er det meget meget længe siden jeg har set/hørt om ny-producerede java-applets.

Der laves stadig masser af java-udvikling rundt omkring, men ikke som applets - det er i hvert fald ikke mit indtryk. Stort set alt det jeg har været involveret i de sidste 5-6 år som java udvikler har været med java som backend og så en html/javascript frontend eller evt. noget flash.

For min skyld måtte de nu også gerne aflive/udskille applets til at være en separat applikation frem for at de talrige exploits får lov at trække resten af java-navnet ned i sølet.

Er det ældre legacy-systemers brug af applets du mener, når du henviser til java og erhvervslivets brug deraf er problematisk? Eller ser du stadig nyudviklede appletbaserede applikationer ude i den virkelige verden?

Johan Brinch

Det er vidst ikke til at sige pt. om IcedTea plugin'et er påvirket, så indtil videre må man antage, at den er det.

Det kan ydermere anbefales at installere noscript (http://noscript.net) og sætte den til kun at acceptere scripts fra betroede sider som udgangspunkt. Den kan også sættes til at sikre HTTPS på nogle faste domæner som f.eks. danid.dk, nets-danid.dk, <din-bank>.dk, google.com, google.dk, facebook.com mv.

For de tekniske kan det anbefales at køre sin browser under en anden bruger på system. Min startes på Linux med kommandoen "sudo -u www iceweasel", men det kræver lidt mere opsætning.

Windows-brugere kan evt. prøve isolation/sandboxing programmer som f.eks. sandboxie eller forsøge sig med unprivilegedj accounts (http://www.markwilson.co.uk/blog/2006/05/using-unprivileged-accounts-in-...).

Kaare Kyndal

"NemID-firmaet Nets DanID ser ingen grund til at følge rådet."

Der var da heller ikke nogen der troede, at de havde kompetence til at forstå noget om sikkerhed!!

Så naturligvis ser de ingen problemer!

Som dansker er NemID direkte pinligt, drop lortet ligesom POLSAG og lav noget ordenligt! FX en digital signatur ville være en god start!

Niels Dybdahl

Chrome starter som default ikke Java-appletter uden at man har givet eksplicit lov. Så umiddelbart er Chrome-brugere bedre beskyttet.
Min far har lige spurgt om han skal deaktivere Java, men da han bruger Chrome kan jeg ikke se behovet. Han skal bare lade være med at give appletter lov til at køre på andet end NemID-sider.

Niels J. Nielsen

Jeg kan jo kun give dig ret Kaare...

Problemet er tilsyneladende at de TROR de ved noget om sikkerhed. Uvidenhed kombineret med troen på "vi alene vide" er meget farlig.

Niels Dybdahl

Nu er der flere ovenfor som anbefaler at man holder op med at bruge Java-appletter til NemID fordi der er fundet dette sikkerhedshul i Java.
Samme argument kan vel bruges om browsere og operativsystemer. Så hvis der bliver fundet et sikkerhedshul i Windows, så bør man straks holde op med at bruge Windows til NemID eller hvad?
Og når man engang får skrevet loginkoden til NemID om til Javascript og der så bliver fundet et sikkerhedshul i browseren, hvad så?

Massimo Fiorentino

Der er en grund til, at den nyeste version af Apple's styresystem udelukker Java. Det udgør simpelthen en for stor en sikkehedsrisiko, vurderer selskabet. Og alle burde følge trop. Men desværre får vi det tvunget ned i halsen herhjemme og værst, så lader man det være op til (super)brugerne selv, at få fikset problemerne. Lad os én gang for alle sige tak til NemID (bare navnet...), og få os et nyt system. Det er meget sensitive persondata, og ikke bare ens Instagram konto, der er på spil her. Derfor er det også et yderst arrogant svar, der kommer fra DanID, der burde tage en mere offensiv position i dette her.

Martin Wolsing

Selvfølgelig kan DanID ikke se problemet. For det ville jo være en indirekte indrømmelse af, at de har taget helt fejl ved at vælge Java til at starte med.

De er nødt til at blive ved med at påstå, at deres valg til ats starte med var det helt rigtige.

Martin Kofoed

Nu.

Uanset om det hedder Silverlight, Flash, Java eller noget fjerde. VM'er i form af browserplugins skal væk.

Sørgeligt at vores nationale sikkerhedsløsning netop har lagt sine æg i dén kurv, men til det er der ikke andet at sige end: lav det om.

Henrik Gullaksen

@Benni Bennetsen Det med at 90% bruger IE. Jeg kan huske at der blev lavet en undersøgelse, hvor man kunne se at brugen af IE faldt kraftigt i weekenden, som hentydet til at det meste ad IE brug var fra arbejdspladser, hvor man ikke har lov til at installere andre browser.
Så jo' i hverdagen er IE stadigvæk meget udbredt, men ikke i fritiden hvor folk har deres egen maskine

Anders Gregersen

DanID/NETS kan jo ikke sige andet uden at stille sig selv i en meget dårlig position. Og det er jo næppe realistisk med et politisk indgreb og sikkert heller ikke ønskværdigt, da jeg ikke har set nogle positive resultater ved den type indgreb. Der skal desværre nok mange flere lig på bordet før der sker nogen positiv ændring ved den nuværende løsning.

Henrik Gullaksen

Hvor er DanID dog inkompetente.
Stort set alle andre sige. "slå Java fra" men DanID ved beddere, og siger stort set "Bare vent, det går nok"

I Sverie har de valgt ikke at bruge Java til deres netbank, da det var for stor sikkerhedshul i det.
DanID mener at det er ok.

Hver gang der bliver fundet et sikkerhedshul i Java. Siger DanID "Det er ikke et problem for brugeren, det er et problem for Oracle"

Mon det ville hjælpe hvis DanID kunne blive holdt økonomisk ansvarligt for skader der sker på grund af kende sikkerhedshuller?
Det ville måske få dem til at skifte til noget, hvor de selv kunne rette hullerne, når de bliver opdaget.

Sune Marcher

Der er en grund til, at den nyeste version af Apple's styresystem udelukker Java. Det udgør simpelthen en for stor en sikkehedsrisiko, vurderer selskabet.

Det er nemlig den eneste grund til at Apple gerne så at Java forsvandt. Ligesom at de eneste grund til de ikke ville have Flash på iOS var at det suger for meget batteri.

Der er i hvert fald ingen økonomiske bagtanker relateret til deres App Store... Men hey, jeg klager ikke - det er en af de store grunde til at vi endeligt så småt er ved at slippe af med Flash :-)

Henrik Madsen

Hvordan kan DanID/Nets sige "Vi ser ingen problemer så længe folk holder deres computer opdateret"..

Seriøst ?

Kære DanID/Nets . Der ER jo for helge ikke nogen muligheder for at holde min computer opdateret når der endnu ikke er frigivet en patch til denne fejl.

Det nytter ikke noget at sige "Bare husk at lås døren hvis du ikke vil have indbrud" hvis låsesmeden ikke har været og montere låsen endnu.

Gad vide om folkene ved DanID/Nets virkeligt ER så dumme eller om de bare føler sig nødsaget til at sige sådan noget sludder fordi de ellers ville være nødt til at indrømme at det var en STOR fejl at vælge java.

Få nu løst jer selv fra den kontrakt med PET omkring Java og får fjernet det lort.

Erik Jacobsen

Nej, Henrik, de er ikke klaphatte. De er heller ikke inkompetente. De ved en masse om sikkerhed.

De er derimod utroværdige, for de kan ikke sige andet end de gør. Det er skuffende, meget skuffende, at V2 ikke går i dybden med sine kritiske spørgsmål.

Henrik Madsen

V2 går ikke i dybden fordi de jo ret beset oftest blot er IT verdenens svar på ekstra bladet.

Overfladiske historier og mikrofonholderi og ingen journalister der besidder de nødvendige kompetencer og forståelse for problematikkerne som de skal interviewe f.eks DanID om.

Havde de forstået problematikken og havde de vidst hvad det her drejer sig om så ville de vel have stillet de kritiske spørgsmål som aldrig bliver stillet.

Dog skal det til V2's ros siges at selvom de er håbløst ude af stand til at sætte fokus på problematikken og stille de rigtige spørgsmål så gør de alligevel mere end alle de andre medier som ikke engang skriver om NemID's fejl og mangler undtagen når det er rigtigt grelt ligesom nu.

Hvor er hele den store debat om, om NemID er den rette løsning og hvor er alle de kritiske spørgsmål til relevante ministre vedr. den fejlagtige implementering af denne "digitale signatur".

Erik Jacobsen

Tak Henrik. Kunne man spørge en politiker, om han/hun synes det er rimeligt, at rigets (borgernes) sikkerhed ligger hos et amerikansk firma, med hvilket man ikke har en SLA (skal nok forklares), og hvor firmaet selv vælger tidshorisonten i rettelser af fejl og sikkerhedsrisici?

Kunne man spørge politikeren, hvad denne mener bør være opfyldt, i lægmands termer, før Nets skal forlange Java fjernet fra borgernes maskiner?

Kunne man spørge politikeren, om denne kan forklare kontrakten med Nets?

Kunne man lave en analogi: SAS (undskyld SAS) vil købe nye fly, hvor sikkerhedssoftware om bord er lavet af et firma i Paraguay (undskyld Paraguay), uden en SLA?

Nej V2 er ikke Ekstrabladet endnu, men de arbejder hårdt for sagen. Eneste, og absolut eneste, grund til at læse V2 er kommentarerne - [EDIT] og de fleste blogs. ;)

Ole Dahl

Med en browser der slet ikke kan røres ved som styres fra
nem id, den har så links til alle sider der bruger nem id, og kan ikke bruges til andet.så ville man komme til banker osv gennem nem id
den måde vil man også undgå falske sider.

Peter Binderup

Men hvor stor er risikoen for brugerne ved selve brugen af NemID? Både bankerne og det offentlige kræver to-faktor godkendelse før en transaktion, så blot en inficering via java er vel ikke nok til at lave transaktioner på vegne af brugeren?

Det er selvfølgelig slemt nok at der (igen) er sikkerhedsproblemer med Java, men sikkerhedstruslen mod NemID er vel ikke anderledes nu end det var før dette zero day hul? Det er vel den samme type man in the middle angreb der skal til?

Truslen mod ens privat økonomi er den ikke stadig større i køen i Føtex end bag ens computerskærm (afluring af pinkode efterfulgt af lommetyveri)?

Jeg arbejder selv indenfor det offentlige (har intet med NemID at gøre), og så absolut helst at der var en anden, og ikke mindst platforms neutral løsning (30% af vores besøg på vores hjemmeside kommer fra devices der ikke kan bruge NemID).

Igen det er ikke et forsvar af NemID eller Java, blot en tanke om at truslen mod NemID alene i denne sag måske er en smule overdrevet.

Sune Marcher

Det er selvfølgelig slemt nok at der (igen) er sikkerhedsproblemer med Java, men sikkerhedstruslen mod NemID er vel ikke anderledes nu end det var før dette zero day hul? Det er vel den samme type man in the middle angreb der skal til?


Joda - denne exploit gør ikke NemID angreb lettere.

Men den giver så mulighed for andre typer af angreb - mulighed for at installere keyloggers og whatnot (hej VISA-kort information der bliver snuppet, credentials til diverse sites der bliver stjålet, ...), joine maskinen i et zombie botnet og så videre.

Og hvis det ikke var for NemID, ville størstedelen af Danskerne ikke have behov for at have Java installeret.

Henrik Madsen

Dengang NemID stadigvæk var i projekteringsfasen var der masser af eksperter som sagde "Lad nu være med at bruge Java" og det var der en bunke grunde til.

  1. Man låser sig alt for fast og det vil give problemer med cross-platform kompatibilitet.

  2. At bruge Java bibringer en mængde sikkerhedsmæssige problemer i form af sikkerhedshuller (Som vi også ser nu)

  3. Løsningen kan sagtens laves ligeså sikker om ikke sikrere uden at benytte Java.

Dengang oplistede DanID en række gode grunde til at Java gjorde deres produkt bedre end det ellers kunne.

Derfor er det vel fair nok at man nu fremhæver at de ting som eksperterne advarede mod gik fra forudsigelser til at blive virkeligheden.

Jeg hælder mest til den teori (Ikke mindst pga, skjult kode i "gif'fer") at det primære formål med at lave en java applet var at man så har adgang til folks harddisk og at PET/FET har en mulighed for at skifte Java appletten på "interessante" folks harddisk ud med en der giver fuld læseadgang til harddisken.

Ja, nogen vil nok sige sølvpapirshat og konspirationsteoretiker men jeg ser virkeligt ikke andre gode grunde til at de fastholdt java på trods af eksperternes råd.

Som en sidebemærkning....Er der nogen der ved hvorfor Stephan Engberg ikke har været en del af den offentlige debat de sidste år til halvanden. Har han givet op eller er han blevet "købt" til tavshed ?

Han kunne om nogen forklare hvad det grundlæggende defekte ved NemID's system er.

Jørgen Larsen

@Peter Binderup - Det GRUNDLÆGGENDE problem er, at brugerens maskine kan kompromitteres. Det er i den sammenhæng principielt set ligegyldigt, at det sker ved hjælp af en Java Applet. Der er dog den ekstra omstændighed, at Nem ID kræver, at Java er slået til i browseren. Dermed er målgruppen meget større. I Sverige (som altså ikke har Nem ID) er anbefalingen i forhold til Java den samme. Måske fordi udfordringen er den samme uagtet de har en anden bankløsning.

Det vil være fornuftigt, at følger anbefalingen fra DK-CERT.

Man KAN og BØR med god ret forholde sig kritisk til Nem ID. Jeg synes dog det er sigende for debat kulturen på version 2, at du - gentagende gange - føler det nødvendigt, at lægge 'luft' til Nem ID. Det burde vække til eftertanke.

Rasmus Arndal

Jeg har længere tid fulgt nemid debatten, men, der er 2 ting, jeg ikke forstår, og som jeg håber nogen kan forklare mig:
Hvorfor skal nemid bruge java; Ville den samme sikkerhed ikke kunne opnåes med f.eks https?
Hvorfor er java altid så "hullet" hvad angår sikkerhed? Jeg synes alle dage, at man har hørt om sikkerhedsbrister i java, er der nogle grundlæggende features i java, som kun kan implementeres med sikkerhedsbrister til følge eller hvad er problemet?

Jørgen Larsen

@Rasmus Arndal - don't mention the war ;-).

Tror, hvis du ser i gennem de forskellige artikler på version2 om Nem ID, så vil du møde alle afskygninger af argumenter for og imod Nem ID. Her under også de nævnte problemstillinger.

Rasmus Arndal

@Jørgen Larsen

Jeg har kigget, og læst meget, og prøvet at forstå, men, jeg synes ikke, jeg er blevet voldsomt klogere.
Du nævner argumenter for og imod, men, som jeg ser det, er mine spørgsmål meget fakta-orienterede. Altså, selvom der kan være forskellige holdninger/argumenter til f.eks. nemid, må fakta for teknologierne bag vel stadig være den samme?

Sune Marcher

Altså, selvom der kan være forskellige holdninger/argumenter til f.eks. nemid, må fakta for teknologierne bag vel stadig være den samme?


Jah - der er bare en helvedes masse forklaring/diskussion nødvendigt for rent faktisk at svare på spørgsmålene - mere end der lige passer ind i kommentarfelter her. En kynding writeup af de sidste par års NemID debat + lidt ekspertbehandling kunne være ret nifty. Der er pænt mange facetter - rå sikkerhed i den ene ende, hr-og-fru-jensen usability i den anden.

Med hensyn til Java i sig selv, så er det også en længere omgang. At forstå hvorfor ting er exploitable kræver en del viden på low-level niveau, og om hvordan Java virker runtime. Jeg er efterhånden stået af det ræs, og har ikke læst op på hvordan den nuværende exploit virker, men det plejer at være en kombination af at browser-plugin'et sucks, der mangler ASLR, og at Javas standard runtime library er blevet "for stort" (og er for svært at holde bugfri).

Måske man ville have færre exploits hvis man kørte ren interpreting i stedet for JIT'ing af kode, men så ville performance til gengæld være helt utålelig.

Jørgen Larsen

@Rasmus Arndal - Det vil være en længere udredning, som jeg ærlig talt ikke vil afsætte tid til at gennemgå. Som sagt, så rummer mange af kommentarerne til de forskellige artikler en masse gode redegørelser. Udfordringen er, at man nødvendigvis også må gennemlæse en masse rituel Nem ID bashing.

Jeg vil da gerne anbefale dig, at læse kommentar fra debattører som Christian Nobel, Niels Didriksen, Jesper Lund, Stephan Engberg m.fl. Jeg deler bestemt ikke alle aspekter af Deres kritik, men de har da nogle væsentlige pointer. Jeg vil da også nævne Rasmus Faber-Espensen, som har nogle gode pointer.

Jesper Lund

Men hvor stor er risikoen for brugerne ved selve brugen af NemID? Både bankerne og det offentlige kræver to-faktor godkendelse før en transaktion, så blot en inficering via java er vel ikke nok til at lave transaktioner på vegne af brugeren?

Problemet er ikke NemID som sådan. Hvis du har en computer som du alene bruger til NemID ting (det har jeg af sikkerhedshensyn), er der ikke noget problem da DanID næppe finder på at angribe sig selv. Det er sådan set også ligegyldigt om du har seneste opdaterede Java når det er en separat maskine.

Problemet med det blandede miljø (NemID ting og andre ting på samme maskine) er at du på andre sites kan blive inficeret med malware via en usigneret Java applet, som en browser normalt vil eksekvere uden at spørge dig, ligesom browseren eksekverer det javascript der nu er på websiden.

Vi ved af erfaring af NemID har "visse" problemer med MiTM angreb fordi man har glemt end-to-end authentificering. Et rogue website planter noget MiTM malware på din computer som går efter NemID.

Det er ikke et urealistisk scenarie. De kriminelle er godt klar over hvordan NemID fungerer, og når alle danskere bruger samme sikkerhedsplatform, er der bedre stordriftsfordele ved at angribe os (sammenlignet med tidligere hvor forskellige netbanker havde forskellige systemer).

Og i virkeligheden er det største problem ikke netbankerne. Bankerne har 15 års erfaring med de kriminelle i deres netbanker, og bankerne har et stort erfaringsgrundlag for at identificere suspekte transaktioner.

Det store problem er vores data hos det offentlige og identitetstyveri. Det er der mindst to grund til.

For det første har det offentlige ikke bankernes erfaring med angreb fra internettet, og det offentlige synes slet ikke at være klar over at der er et problem her. Et problem for borgerne, altså (i bemærkningerne til en af tvangsdigitaliseringslovene står der nærmest at borgeren er den som kontrollerer NemID'en for det pågældende CPR nummer; case closed, der er per definition ikke noget problem her).

For det andet er sikkerhedsøkonomien dybt forkert hos det offentlige. Det offentlige betaler for sikkerheden (eller manglen herpå), men det er borgerne som bærer alle ulemperne af dårlig sikkerhed. Det giver det offentlige et incitament til at spare for meget på sikkerheden. Der er ingen hjælp ved identitetstyveri uanset hvor meget det offentligt har klokket i sikkerheden. Glemmer kommunen af låse pas inde i et pengeskab? Det er borgernes problem hvis der sker indbrud
http://www.bt.dk/krimi/kendt-dj-offer-for-identitetstyveri-det-kan-oedel...

Hos bankerne er sikkerhedsøkonomien rigtig når vi taler om forbrugere. Bankerne betaler for sikkerheden, og bankerne dækker tab på grund af kompromittering af sikkerheden. Det giver det rigtige incitament for bankerne til at opretholde den optimale sikkerhed. Den optimale sikkerhed er ikke nødvendigvis den som sikrer 0 indbrud. Den optimale sikkerhed minimerer summen af sikkerhedsomkostningerne og erstatningen på grund af indbrud.

Jan Phuklin

Du kan vælge NemID fra.
Jeg bruger ikke NemID. Jeg er glæd for netbank uden NemID hos Stadil Sparekasse.
Jeg kan ikke vurdere om Sparekassens netbank har bedre eller ringere sikkerhed. Vigtig for mig er at skaden ved evt. misbrug bliver meget begrænset. Det er jo ikke en fælleslogin som NemID.

Anders Hybertz

Ser at Apple har udsendt en automatisk opdatering, som slår Java fra i deres Safari browser. Gad vide hvor mange ikke IT kyndige, der nu ikke kan benytte NemID.

Mon NemID ikke skulle bede Apple om at genaktivere Java for alle danske OSX NemID brugere. NemID ved jo nemlig hvad som er bedst for os alle.

Ironi kan forekomme.

Henrik Gullaksen

@Ole Dahl Hvis DanID skulle stå for at lavede en browser. Så ville du pludselig begrænse NemID til de platforme som DanID kan overskue.
Det vil sikkert betyde Windows og til nød Mac bruger vil kunne gå på netbank. alle der bruger andet, er bare lost.

Nikolaj Hansen

I chrome(ium) kan man gå til:

chrome://chrome/settings/content

Og sætte "plugins" til "Click-to-Play".

Så kan man jo selv vælge, hvornår et site skal have lov til at afvikle ikke bare java, men alle andre plugins.

Det kan være, der er nogen, der kan lignende setup ændringer til Firefox og IE?

Jakob Damkjær

Ser at Apple har udsendt en automatisk opdatering, som slår Java fra i deres Safari browser. Gad vide hvor mange ikke IT kyndige, der nu ikke kan benytte NemID.

Så Apple har trykket på den helt store røde knap (den bag den brudsikre plast der kun kan åbnes når flere nøgler drejes samtidigt i særlig rækkefølge) for at sikre alle deres brugere med et træk som svar på et alvorligt sikkerhedsproblem og dermed sikret ALLE deres brugere... Hvilken anden software udvikler har evnen til at gøre det uden bruger opmærksomhed og interaktion.

Der er ingen kompleks instruktion, der er ikke nogen der skal "afgøre om det er alvorligt nok til at ville sikre sig" Java er ikke sikkert og derfor er Java holdt op med at virke.

Hvis det er til troeligt at det her er så alvorligt er det ikke sikkert at bevæge sig ud på internettet med java aktiveret, så hvis man antager en gennemsnitslig bruger kyndighed er folk der benytter OS X væsentligt bedre sikret end andre systemer hvor brugerene skal gøre noget aktivt for at sikre sig.

more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist
viser blandt andet...

    &lt;key&gt;LastModification&lt;/key&gt;  
    &lt;string&gt;Thu, 10 Jan 2013 22:48:02 GMT&lt;/string&gt;  
    &lt;key&gt;PlugInBlacklist&lt;/key&gt;  
    &lt;dict&gt;  
            &lt;key&gt;10&lt;/key&gt;  
            &lt;dict&gt;  
                    &lt;key&gt;com.macromedia.Flash Player.plugin&lt;/key&gt;  
                    &lt;dict&gt;  
                            &lt;key&gt;MinimumPlugInBundleVersion&lt;/key&gt;  
                            &lt;string&gt;11.3.300.271&lt;/string&gt;  
                    &lt;/dict&gt;  
                    &lt;key&gt;com.oracle.java.JavaAppletPlugin&lt;/key&gt;  
                    &lt;dict&gt;  
                            &lt;key&gt;MinimumPlugInBundleVersion&lt;/key&gt;  
                            &lt;string&gt;1.7.10.19&lt;/string&gt;  
                    &lt;/dict&gt;  
            &lt;/dict&gt;  
    &lt;/dict&gt;  
    &lt;key&gt;Version&lt;/key&gt;

Så ALLE Mac OS X bruger (der har en relativt ny version af Mac OS X) har været sikret siden 10. januar 2013, og hvis man absolut insistere på at begive sig ud på internettet med java aktiveret så skal man vel bare rette "MinimumPlugInBundleVersion" værdien til "1.7.10.18".

Hvor stor del af folk der benytter linux og windows har været sikre siden den 10. januar ?

IMO er det en ret elegant måde at sikre sig at størstedelen af ens kunder benytter en version af plugin (der komme fra andre software leverandør) der er sikre uden at brugerne skal investere tid i at vide hvilken version der er den seneste eller sikre.

Hvis den virker er den sikker hvis den ikke virker er den ikke sikker...

Så kan man måske kritisere Apple for ikke at informere brugerne, men det gør de faktisk.

Der kommer en fin lille besked op om at Java er blevet deaktiveret fordi det ikke er sikkert
og når der kommer en version af Java der er sikker så kommer det til at fungere igen.

Samtidigt kræver det et relativt højt niveau at slå den funktion fra og heldigvis fungere telefonerne stadig hvis det er akut det man skulle benytte NemID til.

Lars Riber

JAK og Oikos er to andre muligheder for velfungerende Nem-Id fri netbanker.

Derfor har jeg heller ikke glem-Id. Og fatter ikke at så mange danskere blindt accepterer denne vedholdende elendige styring at et så vigtigt identitetssystem !

-Indføre en i praksis tvungen registrering af hele Danmarks befolkning, og overlade håndteringen til et privat udenlandsk firma. Hovedrystende.. !!

Det er for eksempel ikke længere umiddelbart muligt at sende E-post til Århus kommune uden dette fordømte Nem-Id ! De nægter ganske enkelt at oplyse E-mail adresser.
Nu giver denne klodsede identitetsløsning også et demokratisk problem oveni de
vedvarende sikkerhedsmæssige...

Hvem er det system et konkret fremskridt for.. Ineffektive systemtænkende teknokrater eller borgerne ??

Jakob Damkjær

internettet med java aktiveret så skal man vel bare rette "MinimumPlugInBundleVersion" værdien til "1.7.10.18".

Hvor mange gennemsnitlige Apple-brugere kan finde ud af det?

Det er så det der er pointen for er det netop ikke det alle eksperterne siger man skal gøre (dvs. slå java fra)... Men hvis man er ekspert bruger og gerne vil slå det til så burde det være muligt på den måde (forudsat man kan skive til den fil.

Michael Kristensen

Man kan forsøge at sikre sig mod nævnte exploit ved f.eks. at installere NoScript plugin (i firefox - ved ikke om det findes i andre browsere). Hver gang man møder en webside som ønsker at eksekvere bla. java, vil man blive bedt om accept. På den måde kommer man ikke til at aktivere java på en "ondsindet" webside.

Henrik Schmidt

og hvis man absolut insistere på at begive sig ud på internettet med java aktiveret så skal man vel bare rette "MinimumPlugInBundleVersion" værdien til "1.7.10.18".

Nej! Det er en ekstremt dårlig idé manuelt at ændre i en så vigtig system fil. Det er et hjemmebrygget hack uden support fra Apple, og det er ikke til at vide, hvad der sker næste gang den bliver opdateret med nye malware signaturer. Skal man til at gøre det igen? Bliver den bare ikke opdateret og er man dermed ikke længere beskyttet mod nye former for malware? Går OS X helt amok og begynder at advare dig om, at sikkerheden er kompromiteret? Selv hvis lokale ændringer bliver respekteret, så er der ingen der siger, at Apple ikke kan ændre det i morgen.

Det er ærligt talt mindre smart tænkt af Apple simpelthen helt at lukke for Java, og det ville næppe være sket, hvis man i USA havde et system tilsvarende NemId. Vi kan dog sikkert godt blive enige om, at det heller ikke er specielt smart at gøre NemID afhængig af Java, men det er en separat problemstilling, som der er skrevet side og og side ned om.

Men hvis man er ekspert bruger og gerne vil slå det til så burde det være muligt på den måde (forudsat man kan skive til den fil.

Det er netop ikke kun eksperter, der i så fald skulle ændre det. Det ville være alle almindelige borgere, der bruger OS X og NemId.

Heldigvis er der en "nemmere" workaround, som ikke kræver, at man roder rundt nede i maven på OS X: Brug Firefox, når du skal bruge NemID. Den respekterer nemlig ikke XProtect listen.

Peter Binderup

Jeg vil give Jan ret - Apple gjorde det eneste ansvarlige, nemlig at sætte en bremse i Java og presse Oracle til at løse problemet så hurtigt som overhovedet muligt.

Havde Microsoft gjort det samme, så kunne det måske have været mere med til at synliggøre overfor Digitaliseringsstyrelsen og Nets, at Java ikke er det rette valg til NemID (og specielt ikke i disse tider hvor antallet af besøg fra mobiledevices bare stiger og stiger)

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Access 2007 Videregående

Hvornår: 2015-10-01 Hvor: Østjylland Pris: kr. 4950.00

Den sociale diplomuddannelse

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

MCP 20416 kursus: Implementing Desktop Application Environments

Hvornår: 2016-07-11 Hvor: Storkøbenhavn Pris: kr. 18750.00

Borgerservice Excellence

Hvornår: Hvor: Storkøbenhavn Pris: kr. 19500.00

MCP 20488 kursus: Developing Microsoft SharePoint Server 2013 Core Solutions

Hvornår: 2015-11-16 Hvor: Storkøbenhavn Pris: kr. 18750.00