Alarm: 4 millioner NemID-brugere truet af kritisk Java-hul

11. januar 2013 kl. 10:5561
Danske sikkerhedseksperter advarer om nyt sikkerhedshul i Java og beder danskerne at slå Java fra. NemID-firmaet Nets DanID ser ingen grund til at følge rådet.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Hvis du er en af Danmarks små fire millioner brugere af NemID, skal du være ekstra meget på vagt i disse dage.

Sådan lyder vurderingen fra teknisk direktør Thomas Kristensen fra it-sikkerhedsfirmaet Secunia efter nyheden om et alvorligt sikkerhedshul i Java, som NemID kræver for at fungere.

Sikkerhedshullet kan nemlig udnyttes af it-kriminelle, som kan overtage kontrollen med din pc og eksempelvis aflytte dine indtastninger i al ubemærkethed, når du logger på netbanken.

Dermed er der i dansk sammenhæng tale om en sprængfarlig cocktail, der kan åbne op for angreb, hvor danske netbankkunder bliver frarøvet penge.

Artiklen fortsætter efter annoncen

»Vi har stort set alle Java i den browser, vi bruger til hverdag, fordi vi alle sammen er tvunget til at bruge NemID. På den måde er danskerne forbandede, når sådan noget sker,« siger Thomas Kristensen til Version2.

Sikkerhedshullet rammer alle udgaver af Java 7, som er den seneste version af produktet fra Oracle. Selskabet er endnu ikke klar med en lap til sikkerhedshullet, og dermed er der tale om en såkaldt 0-dagssårbarhed.

Panderynkerne hos folk som Thomas Kristensen ville være langt mindre, hvis ingen it-kriminelle endnu havde fundet ud af at udnytte sikkerhedshullet. Men udenlandske tilbagemeldinger viser, at hullet udnyttes aktivt i flere sammenhænge.

Lige nu findes der fungerende exploits i de to hackerværktøjer Blackhole og Nuclear Pack, og ifølge Thomas Kristensen har bagmændene i en periode tjent penge på at sælge dem videre til andre.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Men sådan et værktøj i hånden kan it-kriminelle gennemføre drive-by-angreb, hvor intetanende ofre får installeret malware på deres pc, når de besøger en inficeret hjemmeside. Det er så let som 'drag-and-drop' for de it-kriminelle, siger Thomas Kristensen.

Og det er slet ikke utænkeligt, at sårbarheden kan blive udnyttet herhjemme, for Danmark er på grund af de mange NemID-brugere særlig interessant, når it-kriminelle skal udnytte huller i Java.

»Danmark er ikke særlig interessant for it-kriminelle, der vil udnytte en 0-dagssårbarhed i eksempelvis Internet Explorer, fordi der er så stor spredning i de browsere, danskerne bruger. Problemet med NemID er, at man gør befolkningen meget homogen set med de it-kriminelles øjne. Det er en farlig cocktail,« siger Thomas Kristensen til Version2.

Han anbefaler danskerne enten at slå Java fra, hvilket kan gøres under programmets indstillinger, eller at bruge en særskilt browser til Java og NemID, når der for eksempel skal logges på netbanken.

»Den her sårbarhed bliver man nødt til at tage alvorligt. Det kan godt være, at du er tvunget til at bruge Java sammen med NemID. Men når du surfer til mere dagligdags formål, så skal du slå den fra,« siger Thomas Kristensen til Version2.

Nets' anbefaling uændret: Hold dine programmer opdateret

Hos den offentlige it-sikkerhedstjeneste DK-CERT er man på linje med Secunia.

»Vi er nødt til at have en særskilt browser, som kun benyttes til NemID. Derudover handler det om at holde øje med, hvad der sker fra Oracles side (mht. en opdatering, red.). Så danskerne bliver nødt til at følge med i, hvad der kommer i pressen om det her, for det er alvorligt,« siger leder af DK-CERT, Shehzad Ahmad, til Version2.

Hos Nets DanID, der står bag NemID, tager man truslen alvorligt, siger pressechef Søren Winge. Men virksomheden er alligevel ikke enig i anbefalingerne fra Secunia og DK-CERT:

Artiklen fortsætter efter annoncen

»Vores anbefaling er den samme, som den har været hele tiden, nemlig at man sørger for at holde sine programmer opdateret til nyeste version,« siger pressechef i Nets, Søren Winge, til Version2.

Men det særlige ved denne sårbarhed er jo, at den også rammer den allernyeste version af Java. Så den anbefaling gælder vel ikke i den aktuelle sag?

»Nej, det gør den ikke, så længe sikkerhedshullet ikke er lappet. Det forventer vi så, at det bliver så hurtigt, som Oracle nu kan gøre det. Normalt opdaterer de jo løbende software, når der opstår sikkerhedshuller,« siger Søren Winge.

Så I er ikke enig i ekspertanbefalingen om, at man enten skal slå Java helt fra eller bruge det i en særskilt browser?

»Nej, vi mener, at man kan bruge sin computer, som man plejer. Vi kan selvfølgelig godt følge argumentationen, men det er ikke en anbefaling, vi kan give. Vi mener ikke, at sikkerhedsrisikoen er til stede for, at det er nødvendigt at skulle tage den forholdsregel,« siger Søren Winge.

Vi ved, at der findes fuldt fungerende exploits derude nu, som kan købes af it-kriminelle. Vi ved også, at de kan misbruge dem til eksempelvis at aflytte folks netbankoplysninger. Gør det ikke truslen meget reel herhjemme?

»Jo, man kan bestemt godt sige, at truslen er reel. Den angrebsform, vi tidligere har set, rimer på det her, du skitserer. Men vi mener dog stadig, at man kan skærme sig generelt ved at holde sine programmer opdateret. I den aktuelle sag forventer vi, at det bliver løst inden for en meget overskuelig tidshorisont (en opdatering fra Oracle, red.). Men vi mener ikke, at man hverken skal afinstallere Java eller holde op med at bruge det,« siger Søren Winge til Version2.

Du kan læse mere om, hvordan du slår Java fra i browseren, i Version2s gennemgang.

Opdateret klokken 11.12 med kommentar fra DK-CERT.

Fokus
Emner
61 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
59
Slettet bruger
14. januar 2013 kl. 14:03

Jeg undrer mig lidt, om hvor meget furore denne sag og Java 7 har skabt, når man tænker, at rigtig mange danskere stadig har Java 6 installeret.

  • more_vert
    • insert_linkKopier link
61
Slettet bruger
14. januar 2013 kl. 14:18

Men alligevel en overdrivelse af rang så at postulere (jf. titlen på artiklen), at 4 mio NemID er truet af en bestemt Java 7 exploit!

  • more_vert
    • insert_linkKopier link
56
Kim Rasmussen
13. januar 2013 kl. 20:56

Update 11 er nu tilgængelig på java.com

  • more_vert
    • insert_linkKopier link
53
Michael Kristensen
13. januar 2013 kl. 12:20

Man kan forsøge at sikre sig mod nævnte exploit ved f.eks. at installere NoScript plugin (i firefox - ved ikke om det findes i andre browsere). Hver gang man møder en webside som ønsker at eksekvere bla. java, vil man blive bedt om accept. På den måde kommer man ikke til at aktivere java på en "ondsindet" webside.

  • more_vert
    • insert_linkKopier link
54
Erik Jacobsen
13. januar 2013 kl. 12:26

"...ved f.eks. at installere NoScript ..." - ingen tvivl om at "vi" kan finde ud af at beskytte os. Kan hr og fru Danmark?

  • more_vert
    • insert_linkKopier link
44
Anders Hybertz
12. januar 2013 kl. 13:46

Ser at Apple har udsendt en automatisk opdatering, som slår Java fra i deres Safari browser. Gad vide hvor mange ikke IT kyndige, der nu ikke kan benytte NemID.

Mon NemID ikke skulle bede Apple om at genaktivere Java for alle danske OSX NemID brugere. NemID ved jo nemlig hvad som er bedst for os alle.

Ironi kan forekomme.

  • more_vert
    • insert_linkKopier link
47
Jakob Damkjær
12. januar 2013 kl. 18:09

Ser at Apple har udsendt en automatisk opdatering, som slår Java fra i deres Safari browser. Gad vide hvor mange ikke IT kyndige, der nu ikke kan benytte NemID.

Så Apple har trykket på den helt store røde knap (den bag den brudsikre plast der kun kan åbnes når flere nøgler drejes samtidigt i særlig rækkefølge) for at sikre alle deres brugere med et træk som svar på et alvorligt sikkerhedsproblem og dermed sikret ALLE deres brugere... Hvilken anden software udvikler har evnen til at gøre det uden bruger opmærksomhed og interaktion.

Der er ingen kompleks instruktion, der er ikke nogen der skal "afgøre om det er alvorligt nok til at ville sikre sig" Java er ikke sikkert og derfor er Java holdt op med at virke.

Hvis det er til troeligt at det her er så alvorligt er det ikke sikkert at bevæge sig ud på internettet med java aktiveret, så hvis man antager en gennemsnitslig bruger kyndighed er folk der benytter OS X væsentligt bedre sikret end andre systemer hvor brugerene skal gøre noget aktivt for at sikre sig.

more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist viser blandt andet...

    <key>LastModification</key>
    <string>Thu, 10 Jan 2013 22:48:02 GMT</string>
    <key>PlugInBlacklist</key>
    <dict>
            <key>10</key>
            <dict>
                    <key>com.macromedia.Flash Player.plugin</key>
                    <dict>
                            <key>MinimumPlugInBundleVersion</key>
                            <string>11.3.300.271</string>
                    </dict>
                    <key>com.oracle.java.JavaAppletPlugin</key>
                    <dict>
                            <key>MinimumPlugInBundleVersion</key>
                            <string>1.7.10.19</string>
                    </dict>
            </dict>
    </dict>
    <key>Version</key>

Så ALLE Mac OS X bruger (der har en relativt ny version af Mac OS X) har været sikret siden 10. januar 2013, og hvis man absolut insistere på at begive sig ud på internettet med java aktiveret så skal man vel bare rette "MinimumPlugInBundleVersion" værdien til "1.7.10.18".

Hvor stor del af folk der benytter linux og windows har været sikre siden den 10. januar ?

IMO er det en ret elegant måde at sikre sig at størstedelen af ens kunder benytter en version af plugin (der komme fra andre software leverandør) der er sikre uden at brugerne skal investere tid i at vide hvilken version der er den seneste eller sikre.

Hvis den virker er den sikker hvis den ikke virker er den ikke sikker...

Så kan man måske kritisere Apple for ikke at informere brugerne, men det gør de faktisk.

Der kommer en fin lille besked op om at Java er blevet deaktiveret fordi det ikke er sikkert og når der kommer en version af Java der er sikker så kommer det til at fungere igen.

Samtidigt kræver det et relativt højt niveau at slå den funktion fra og heldigvis fungere telefonerne stadig hvis det er akut det man skulle benytte NemID til.

  • more_vert
    • insert_linkKopier link
55
Henrik Schmidt
13. januar 2013 kl. 15:56

og hvis man absolut insistere på at begive sig ud på internettet med java aktiveret så skal man vel bare rette "MinimumPlugInBundleVersion" værdien til "1.7.10.18".

Nej! Det er en ekstremt dårlig idé manuelt at ændre i en så vigtig system fil. Det er et hjemmebrygget hack uden support fra Apple, og det er ikke til at vide, hvad der sker næste gang den bliver opdateret med nye malware signaturer. Skal man til at gøre det igen? Bliver den bare ikke opdateret og er man dermed ikke længere beskyttet mod nye former for malware? Går OS X helt amok og begynder at advare dig om, at sikkerheden er kompromiteret? Selv hvis lokale ændringer bliver respekteret, så er der ingen der siger, at Apple ikke kan ændre det i morgen.

Det er ærligt talt mindre smart tænkt af Apple simpelthen helt at lukke for Java, og det ville næppe være sket, hvis man i USA havde et system tilsvarende NemId. Vi kan dog sikkert godt blive enige om, at det heller ikke er specielt smart at gøre NemID afhængig af Java, men det er en separat problemstilling, som der er skrevet side og og side ned om.

Men hvis man er ekspert bruger og gerne vil slå det til så burde det være muligt på den måde (forudsat man kan skive til den fil.

Det er netop ikke kun eksperter, der i så fald skulle ændre det. Det ville være alle almindelige borgere, der bruger OS X og NemId.

Heldigvis er der en "nemmere" workaround, som ikke kræver, at man roder rundt nede i maven på OS X: Brug Firefox, når du skal bruge NemID. Den respekterer nemlig ikke XProtect listen.

  • more_vert
    • insert_linkKopier link
58
Indsendt af Peter Binderup (ikke efterprøvet) den man, 01/14/2013 - 09:51

Jeg vil give Jan ret - Apple gjorde det eneste ansvarlige, nemlig at sætte en bremse i Java og presse Oracle til at løse problemet så hurtigt som overhovedet muligt.

Havde Microsoft gjort det samme, så kunne det måske have været mere med til at synliggøre overfor Digitaliseringsstyrelsen og Nets, at Java ikke er det rette valg til NemID (og specielt ikke i disse tider hvor antallet af besøg fra mobiledevices bare stiger og stiger)

  • more_vert
    • insert_linkKopier link
51
Jakob Damkjær
13. januar 2013 kl. 00:52

internettet med java aktiveret så skal man vel bare rette "MinimumPlugInBundleVersion" værdien til "1.7.10.18".</p>
<p>Hvor mange gennemsnitlige Apple-brugere kan finde ud af det?</p>
<p>

Det er så det der er pointen for er det netop ikke det alle eksperterne siger man skal gøre (dvs. slå java fra)... Men hvis man er ekspert bruger og gerne vil slå det til så burde det være muligt på den måde (forudsat man kan skive til den fil.

  • more_vert
    • insert_linkKopier link
37
Rasmus Arndal
11. januar 2013 kl. 20:31

Jeg har længere tid fulgt nemid debatten, men, der er 2 ting, jeg ikke forstår, og som jeg håber nogen kan forklare mig: Hvorfor skal nemid bruge java; Ville den samme sikkerhed ikke kunne opnåes med f.eks https? Hvorfor er java altid så "hullet" hvad angår sikkerhed? Jeg synes alle dage, at man har hørt om sikkerhedsbrister i java, er der nogle grundlæggende features i java, som kun kan implementeres med sikkerhedsbrister til følge eller hvad er problemet?

  • more_vert
    • insert_linkKopier link
38
Jørgen Larsen
11. januar 2013 kl. 20:37

@Rasmus Arndal - don't mention the war ;-).

Tror, hvis du ser i gennem de forskellige artikler på version2 om Nem ID, så vil du møde alle afskygninger af argumenter for og imod Nem ID. Her under også de nævnte problemstillinger.

  • more_vert
    • insert_linkKopier link
39
Rasmus Arndal
11. januar 2013 kl. 21:12

@Jørgen Larsen

Jeg har kigget, og læst meget, og prøvet at forstå, men, jeg synes ikke, jeg er blevet voldsomt klogere. Du nævner argumenter for og imod, men, som jeg ser det, er mine spørgsmål meget fakta-orienterede. Altså, selvom der kan være forskellige holdninger/argumenter til f.eks. nemid, må fakta for teknologierne bag vel stadig være den samme?

  • more_vert
    • insert_linkKopier link
41
Jørgen Larsen
11. januar 2013 kl. 21:53

@Rasmus Arndal - Det vil være en længere udredning, som jeg ærlig talt ikke vil afsætte tid til at gennemgå. Som sagt, så rummer mange af kommentarerne til de forskellige artikler en masse gode redegørelser. Udfordringen er, at man nødvendigvis også må gennemlæse en masse rituel Nem ID bashing.

Jeg vil da gerne anbefale dig, at læse kommentar fra debattører som Christian Nobel, Niels Didriksen, Jesper Lund, Stephan Engberg m.fl. Jeg deler bestemt ikke alle aspekter af Deres kritik, men de har da nogle væsentlige pointer. Jeg vil da også nævne Rasmus Faber-Espensen, som har nogle gode pointer.

  • more_vert
    • insert_linkKopier link
40
Sune Marcher
11. januar 2013 kl. 21:25

Altså, selvom der kan være forskellige holdninger/argumenter til f.eks. nemid, må fakta for teknologierne bag vel stadig være den samme?

Jah - der er bare en helvedes masse forklaring/diskussion nødvendigt for rent faktisk at svare på spørgsmålene - mere end der lige passer ind i kommentarfelter her. En kynding writeup af de sidste par års NemID debat + lidt ekspertbehandling kunne være ret nifty. Der er pænt mange facetter - rå sikkerhed i den ene ende, hr-og-fru-jensen usability i den anden.

Med hensyn til Java i sig selv, så er det også en længere omgang. At forstå hvorfor ting er exploitable kræver en del viden på low-level niveau, og om hvordan Java virker runtime. Jeg er efterhånden stået af det ræs, og har ikke læst op på hvordan den nuværende exploit virker, men det plejer at være en kombination af at browser-plugin'et sucks, der mangler ASLR, og at Javas standard runtime library er blevet "for stort" (og er for svært at holde bugfri).

Måske man ville have færre exploits hvis man kørte ren interpreting i stedet for JIT'ing af kode, men så ville performance til gengæld være helt utålelig.

  • more_vert
    • insert_linkKopier link
35
Slettet bruger
11. januar 2013 kl. 20:25

Dengang NemID stadigvæk var i projekteringsfasen var der masser af eksperter som sagde "Lad nu være med at bruge Java" og det var der en bunke grunde til.

  1. Man låser sig alt for fast og det vil give problemer med cross-platform kompatibilitet.

  2. At bruge Java bibringer en mængde sikkerhedsmæssige problemer i form af sikkerhedshuller (Som vi også ser nu)

  3. Løsningen kan sagtens laves ligeså sikker om ikke sikrere uden at benytte Java.

Dengang oplistede DanID en række gode grunde til at Java gjorde deres produkt bedre end det ellers kunne.

Derfor er det vel fair nok at man nu fremhæver at de ting som eksperterne advarede mod gik fra forudsigelser til at blive virkeligheden.

Jeg hælder mest til den teori (Ikke mindst pga, skjult kode i "gif'fer") at det primære formål med at lave en java applet var at man så har adgang til folks harddisk og at PET/FET har en mulighed for at skifte Java appletten på "interessante" folks harddisk ud med en der giver fuld læseadgang til harddisken.

Ja, nogen vil nok sige sølvpapirshat og konspirationsteoretiker men jeg ser virkeligt ikke andre gode grunde til at de fastholdt java på trods af eksperternes råd.

Som en sidebemærkning....Er der nogen der ved hvorfor Stephan Engberg ikke har været en del af den offentlige debat de sidste år til halvanden. Har han givet op eller er han blevet "købt" til tavshed ?

Han kunne om nogen forklare hvad det grundlæggende defekte ved NemID's system er.

  • more_vert
    • insert_linkKopier link
33
Indsendt af Peter Binderup (ikke efterprøvet) den fre, 01/11/2013 - 19:56

Men hvor stor er risikoen for brugerne ved selve brugen af NemID? Både bankerne og det offentlige kræver to-faktor godkendelse før en transaktion, så blot en inficering via java er vel ikke nok til at lave transaktioner på vegne af brugeren?

Det er selvfølgelig slemt nok at der (igen) er sikkerhedsproblemer med Java, men sikkerhedstruslen mod NemID er vel ikke anderledes nu end det var før dette zero day hul? Det er vel den samme type man in the middle angreb der skal til?

Truslen mod ens privat økonomi er den ikke stadig større i køen i Føtex end bag ens computerskærm (afluring af pinkode efterfulgt af lommetyveri)?

Jeg arbejder selv indenfor det offentlige (har intet med NemID at gøre), og så absolut helst at der var en anden, og ikke mindst platforms neutral løsning (30% af vores besøg på vores hjemmeside kommer fra devices der ikke kan bruge NemID).

Igen det er ikke et forsvar af NemID eller Java, blot en tanke om at truslen mod NemID alene i denne sag måske er en smule overdrevet.

  • more_vert
    • insert_linkKopier link
42
Jesper Lund
11. januar 2013 kl. 22:21

Men hvor stor er risikoen for brugerne ved selve brugen af NemID? Både bankerne og det offentlige kræver to-faktor godkendelse før en transaktion, så blot en inficering via java er vel ikke nok til at lave transaktioner på vegne af brugeren?

Problemet er ikke NemID som sådan. Hvis du har en computer som du alene bruger til NemID ting (det har jeg af sikkerhedshensyn), er der ikke noget problem da DanID næppe finder på at angribe sig selv. Det er sådan set også ligegyldigt om du har seneste opdaterede Java når det er en separat maskine.

Problemet med det blandede miljø (NemID ting og andre ting på samme maskine) er at du på andre sites kan blive inficeret med malware via en usigneret Java applet, som en browser normalt vil eksekvere uden at spørge dig, ligesom browseren eksekverer det javascript der nu er på websiden.

Vi ved af erfaring af NemID har "visse" problemer med MiTM angreb fordi man har glemt end-to-end authentificering. Et rogue website planter noget MiTM malware på din computer som går efter NemID.

Det er ikke et urealistisk scenarie. De kriminelle er godt klar over hvordan NemID fungerer, og når alle danskere bruger samme sikkerhedsplatform, er der bedre stordriftsfordele ved at angribe os (sammenlignet med tidligere hvor forskellige netbanker havde forskellige systemer).

Og i virkeligheden er det største problem ikke netbankerne. Bankerne har 15 års erfaring med de kriminelle i deres netbanker, og bankerne har et stort erfaringsgrundlag for at identificere suspekte transaktioner.

Det store problem er vores data hos det offentlige og identitetstyveri. Det er der mindst to grund til.

For det første har det offentlige ikke bankernes erfaring med angreb fra internettet, og det offentlige synes slet ikke at være klar over at der er et problem her. Et problem for borgerne, altså (i bemærkningerne til en af tvangsdigitaliseringslovene står der nærmest at borgeren er den som kontrollerer NemID'en for det pågældende CPR nummer; case closed, der er per definition ikke noget problem her).

For det andet er sikkerhedsøkonomien dybt forkert hos det offentlige. Det offentlige betaler for sikkerheden (eller manglen herpå), men det er borgerne som bærer alle ulemperne af dårlig sikkerhed. Det giver det offentlige et incitament til at spare for meget på sikkerheden. Der er ingen hjælp ved identitetstyveri uanset hvor meget det offentligt har klokket i sikkerheden. Glemmer kommunen af låse pas inde i et pengeskab? Det er borgernes problem hvis der sker indbrudhttps://www.bt.dk/krimi/kendt-dj-offer-for-identitetstyveri-det-kan-oedelaegge-mit-liv

Hos bankerne er sikkerhedsøkonomien rigtig når vi taler om forbrugere. Bankerne betaler for sikkerheden, og bankerne dækker tab på grund af kompromittering af sikkerheden. Det giver det rigtige incitament for bankerne til at opretholde den optimale sikkerhed. Den optimale sikkerhed er ikke nødvendigvis den som sikrer 0 indbrud. Den optimale sikkerhed minimerer summen af sikkerhedsomkostningerne og erstatningen på grund af indbrud.

  • more_vert
    • insert_linkKopier link
46
Helge Svendsen
12. januar 2013 kl. 15:45

I chrome(ium) kan man gå til:

chrome://chrome/settings/content

Og sætte "plugins" til "Click-to-Play".

Så kan man jo selv vælge, hvornår et site skal have lov til at afvikle ikke bare java, men alle andre plugins.

Det kan være, der er nogen, der kan lignende setup ændringer til Firefox og IE?

  • more_vert
    • insert_linkKopier link
36
Jørgen Larsen
11. januar 2013 kl. 20:27

@Peter Binderup - Det GRUNDLÆGGENDE problem er, at brugerens maskine kan kompromitteres. Det er i den sammenhæng principielt set ligegyldigt, at det sker ved hjælp af en Java Applet. Der er dog den ekstra omstændighed, at Nem ID kræver, at Java er slået til i browseren. Dermed er målgruppen meget større. I Sverige (som altså ikke har Nem ID) er anbefalingen i forhold til Java den samme. Måske fordi udfordringen er den samme uagtet de har en anden bankløsning.

Det vil være fornuftigt, at følger anbefalingen fra DK-CERT.

Man KAN og BØR med god ret forholde sig kritisk til Nem ID. Jeg synes dog det er sigende for debat kulturen på version 2, at du - gentagende gange - føler det nødvendigt, at lægge 'luft' til Nem ID. Det burde vække til eftertanke.

  • more_vert
    • insert_linkKopier link
34
Sune Marcher
11. januar 2013 kl. 20:19

Det er selvfølgelig slemt nok at der (igen) er sikkerhedsproblemer med Java, men sikkerhedstruslen mod NemID er vel ikke anderledes nu end det var før dette zero day hul? Det er vel den samme type man in the middle angreb der skal til?

Joda - denne exploit gør ikke NemID angreb lettere.

Men den giver så mulighed for andre typer af angreb - mulighed for at installere keyloggers og whatnot (hej VISA-kort information der bliver snuppet, credentials til diverse sites der bliver stjålet, ...), joine maskinen i et zombie botnet og så videre.

Og hvis det ikke var for NemID, ville størstedelen af Danskerne ikke have behov for at have Java installeret.

  • more_vert
    • insert_linkKopier link
32
Ole Dahl
11. januar 2013 kl. 19:50

Med en browser der slet ikke kan røres ved som styres fra nem id, den har så links til alle sider der bruger nem id, og kan ikke bruges til andet.så ville man komme til banker osv gennem nem id den måde vil man også undgå falske sider.

  • more_vert
    • insert_linkKopier link
45
Henrik Gullaksen
12. januar 2013 kl. 14:03

@Ole Dahl Hvis DanID skulle stå for at lavede en browser. Så ville du pludselig begrænse NemID til de platforme som DanID kan overskue. Det vil sikkert betyde Windows og til nød Mac bruger vil kunne gå på netbank. alle der bruger andet, er bare lost.

  • more_vert
    • insert_linkKopier link
30
Slettet bruger
11. januar 2013 kl. 18:58

V2 går ikke i dybden fordi de jo ret beset oftest blot er IT verdenens svar på ekstra bladet.

Overfladiske historier og mikrofonholderi og ingen journalister der besidder de nødvendige kompetencer og forståelse for problematikkerne som de skal interviewe f.eks DanID om.

Havde de forstået problematikken og havde de vidst hvad det her drejer sig om så ville de vel have stillet de kritiske spørgsmål som aldrig bliver stillet.

Dog skal det til V2's ros siges at selvom de er håbløst ude af stand til at sætte fokus på problematikken og stille de rigtige spørgsmål så gør de alligevel mere end alle de andre medier som ikke engang skriver om NemID's fejl og mangler undtagen når det er rigtigt grelt ligesom nu.

Hvor er hele den store debat om, om NemID er den rette løsning og hvor er alle de kritiske spørgsmål til relevante ministre vedr. den fejlagtige implementering af denne "digitale signatur".

  • more_vert
    • insert_linkKopier link
28
Slettet bruger
11. januar 2013 kl. 17:29

Hvordan kan DanID/Nets sige "Vi ser ingen problemer så længe folk holder deres computer opdateret"..

Seriøst ?

Kære DanID/Nets . Der ER jo for helge ikke nogen muligheder for at holde min computer opdateret når der endnu ikke er frigivet en patch til denne fejl.

Det nytter ikke noget at sige "Bare husk at lås døren hvis du ikke vil have indbrud" hvis låsesmeden ikke har været og montere låsen endnu.

Gad vide om folkene ved DanID/Nets virkeligt ER så dumme eller om de bare føler sig nødsaget til at sige sådan noget sludder fordi de ellers ville være nødt til at indrømme at det var en STOR fejl at vælge java.

Få nu løst jer selv fra den kontrakt med PET omkring Java og får fjernet det lort.

  • more_vert
    • insert_linkKopier link
31
Erik Jacobsen
11. januar 2013 kl. 19:10

Tak Henrik. Kunne man spørge en politiker, om han/hun synes det er rimeligt, at rigets (borgernes) sikkerhed ligger hos et amerikansk firma, med hvilket man ikke har en SLA (skal nok forklares), og hvor firmaet selv vælger tidshorisonten i rettelser af fejl og sikkerhedsrisici?

Kunne man spørge politikeren, hvad denne mener bør være opfyldt, i lægmands termer, før Nets skal forlange Java fjernet fra borgernes maskiner?

Kunne man spørge politikeren, om denne kan forklare kontrakten med Nets?

Kunne man lave en analogi: SAS (undskyld SAS) vil købe nye fly, hvor sikkerhedssoftware om bord er lavet af et firma i Paraguay (undskyld Paraguay), uden en SLA?

Nej V2 er ikke Ekstrabladet endnu, men de arbejder hårdt for sagen. Eneste, og absolut eneste, grund til at læse V2 er kommentarerne - [EDIT] og de fleste blogs. ;)

  • more_vert
    • insert_linkKopier link
29
Erik Jacobsen
11. januar 2013 kl. 18:37

Nej, Henrik, de er ikke klaphatte. De er heller ikke inkompetente. De ved en masse om sikkerhed.

De er derimod utroværdige, for de kan ikke sige andet end de gør. Det er skuffende, meget skuffende, at V2 ikke går i dybden med sine kritiske spørgsmål.

  • more_vert
    • insert_linkKopier link
25
Henrik Gullaksen
11. januar 2013 kl. 14:15

Hvor er DanID dog inkompetente. Stort set alle andre sige. "slå Java fra" men DanID ved beddere, og siger stort set "Bare vent, det går nok"

I Sverie har de valgt ikke at bruge Java til deres netbank, da det var for stor sikkerhedshul i det. DanID mener at det er ok.

Hver gang der bliver fundet et sikkerhedshul i Java. Siger DanID "Det er ikke et problem for brugeren, det er et problem for Oracle"

Mon det ville hjælpe hvis DanID kunne blive holdt økonomisk ansvarligt for skader der sker på grund af kende sikkerhedshuller? Det ville måske få dem til at skifte til noget, hvor de selv kunne rette hullerne, når de bliver opdaget.

  • more_vert
    • insert_linkKopier link
24
Anders Gregersen
11. januar 2013 kl. 14:13

DanID/NETS kan jo ikke sige andet uden at stille sig selv i en meget dårlig position. Og det er jo næppe realistisk med et politisk indgreb og sikkert heller ikke ønskværdigt, da jeg ikke har set nogle positive resultater ved den type indgreb. Der skal desværre nok mange flere lig på bordet før der sker nogen positiv ændring ved den nuværende løsning.

  • more_vert
    • insert_linkKopier link
23
Henrik Gullaksen
11. januar 2013 kl. 14:10

@Benni Bennetsen Det med at 90% bruger IE. Jeg kan huske at der blev lavet en undersøgelse, hvor man kunne se at brugen af IE faldt kraftigt i weekenden, som hentydet til at det meste ad IE brug var fra arbejdspladser, hvor man ikke har lov til at installere andre browser. Så jo' i hverdagen er IE stadigvæk meget udbredt, men ikke i fritiden hvor folk har deres egen maskine

  • more_vert
    • insert_linkKopier link
21
Martin Kofoed
11. januar 2013 kl. 13:26

Nu.

Uanset om det hedder Silverlight, Flash, Java eller noget fjerde. VM'er i form af browserplugins skal væk.

Sørgeligt at vores nationale sikkerhedsløsning netop har lagt sine æg i dén kurv, men til det er der ikke andet at sige end: lav det om.

  • more_vert
    • insert_linkKopier link
20
Slettet bruger
11. januar 2013 kl. 13:16

Selvfølgelig kan DanID ikke se problemet. For det ville jo være en indirekte indrømmelse af, at de har taget helt fejl ved at vælge Java til at starte med.

De er nødt til at blive ved med at påstå, at deres valg til ats starte med var det helt rigtige.

  • more_vert
    • insert_linkKopier link
19
Massimo Fiorentino
11. januar 2013 kl. 13:06

Der er en grund til, at den nyeste version af Apple's styresystem udelukker Java. Det udgør simpelthen en for stor en sikkehedsrisiko, vurderer selskabet. Og alle burde følge trop. Men desværre får vi det tvunget ned i halsen herhjemme og værst, så lader man det være op til (super)brugerne selv, at få fikset problemerne. Lad os én gang for alle sige tak til NemID (bare navnet...), og få os et nyt system. Det er meget sensitive persondata, og ikke bare ens Instagram konto, der er på spil her. Derfor er det også et yderst arrogant svar, der kommer fra DanID, der burde tage en mere offensiv position i dette her.

  • more_vert
    • insert_linkKopier link
27
Sune Marcher
11. januar 2013 kl. 17:08

Der er en grund til, at den nyeste version af Apple's styresystem udelukker Java. Det udgør simpelthen en for stor en sikkehedsrisiko, vurderer selskabet.

Det er nemlig den eneste grund til at Apple gerne så at Java forsvandt. Ligesom at de eneste grund til de ikke ville have Flash på iOS var at det suger for meget batteri.

Der er i hvert fald ingen økonomiske bagtanker relateret til deres App Store... Men hey, jeg klager ikke - det er en af de store grunde til at vi endeligt så småt er ved at slippe af med Flash :-)

  • more_vert
    • insert_linkKopier link
18
Niels Dybdahl
11. januar 2013 kl. 13:01

Nu er der flere ovenfor som anbefaler at man holder op med at bruge Java-appletter til NemID fordi der er fundet dette sikkerhedshul i Java. Samme argument kan vel bruges om browsere og operativsystemer. Så hvis der bliver fundet et sikkerhedshul i Windows, så bør man straks holde op med at bruge Windows til NemID eller hvad? Og når man engang får skrevet loginkoden til NemID om til Javascript og der så bliver fundet et sikkerhedshul i browseren, hvad så?

  • more_vert
    • insert_linkKopier link
16
Niels Dybdahl
11. januar 2013 kl. 12:58

Chrome starter som default ikke Java-appletter uden at man har givet eksplicit lov. Så umiddelbart er Chrome-brugere bedre beskyttet. Min far har lige spurgt om han skal deaktivere Java, men da han bruger Chrome kan jeg ikke se behovet. Han skal bare lade være med at give appletter lov til at køre på andet end NemID-sider.

  • more_vert
    • insert_linkKopier link
15
Kaare Kyndal
11. januar 2013 kl. 12:20

"NemID-firmaet Nets DanID ser ingen grund til at følge rådet."

Der var da heller ikke nogen der troede, at de havde kompetence til at forstå noget om sikkerhed!!

Så naturligvis ser de ingen problemer!

Som dansker er NemID direkte pinligt, drop lortet ligesom POLSAG og lav noget ordenligt! FX en digital signatur ville være en god start!

  • more_vert
    • insert_linkKopier link
43
Jan Phuklin
12. januar 2013 kl. 11:28

Du kan vælge NemID fra. Jeg bruger ikke NemID. Jeg er glæd for netbank uden NemID hos Stadil Sparekasse. Jeg kan ikke vurdere om Sparekassens netbank har bedre eller ringere sikkerhed. Vigtig for mig er at skaden ved evt. misbrug bliver meget begrænset. Det er jo ikke en fælleslogin som NemID.

  • more_vert
    • insert_linkKopier link
50
Lars Riber
12. januar 2013 kl. 22:03

JAK og Oikos er to andre muligheder for velfungerende Nem-Id fri netbanker.

Derfor har jeg heller ikke glem-Id. Og fatter ikke at så mange danskere blindt accepterer denne vedholdende elendige styring at et så vigtigt identitetssystem !

-Indføre en i praksis tvungen registrering af hele Danmarks befolkning, og overlade håndteringen til et privat udenlandsk firma. Hovedrystende.. !!

Det er for eksempel ikke længere umiddelbart muligt at sende E-post til Århus kommune uden dette fordømte Nem-Id ! De nægter ganske enkelt at oplyse E-mail adresser. Nu giver denne klodsede identitetsløsning også et demokratisk problem oveni de vedvarende sikkerhedsmæssige...

Hvem er det system et konkret fremskridt for.. Ineffektive systemtænkende teknokrater eller borgerne ??

  • more_vert
    • insert_linkKopier link
17
Niels J. Nielsen
11. januar 2013 kl. 13:01

Jeg kan jo kun give dig ret Kaare...

Problemet er tilsyneladende at de TROR de ved noget om sikkerhed. Uvidenhed kombineret med troen på "vi alene vide" er meget farlig.

  • more_vert
    • insert_linkKopier link
11
Thomas Johansen
11. januar 2013 kl. 12:02

Jeg håber sådan et exploit her, bliver udnyttet så voldsomt, at branchen finder ud af det java ikke er løsningen.

Det er desværre ikke kun nemid der bruger java. Mange forskellige portaler/værktøjer til erhvervs livet bruger java desværre.

  • more_vert
    • insert_linkKopier link
13
Flemming Jønsson
11. januar 2013 kl. 12:11

Ud over NemId login-appletten er det meget meget længe siden jeg har set/hørt om ny-producerede java-applets.

Der laves stadig masser af java-udvikling rundt omkring, men ikke som applets - det er i hvert fald ikke mit indtryk. Stort set alt det jeg har været involveret i de sidste 5-6 år som java udvikler har været med java som backend og så en html/javascript frontend eller evt. noget flash.

For min skyld måtte de nu også gerne aflive/udskille applets til at være en separat applikation frem for at de talrige exploits får lov at trække resten af java-navnet ned i sølet.

Er det ældre legacy-systemers brug af applets du mener, når du henviser til java og erhvervslivets brug deraf er problematisk? Eller ser du stadig nyudviklede appletbaserede applikationer ude i den virkelige verden?

  • more_vert
    • insert_linkKopier link
26
Jan Michael Due
11. januar 2013 kl. 16:07

"Der laves stadig masser af java-udvikling rundt omkring" ?

Java er vel "stadig" det næstmest brugte sprog til softwareudvikling!?

Det var i hvert fald tilfældet, sidst version2 skrev om emnet.

  • more_vert
    • insert_linkKopier link
6
Robert Larsen
11. januar 2013 kl. 11:39

"Nej, det gør den ikke, så længe sikkerhedshullet ikke er lappet. Det forventer vi så, at det bliver så hurtigt, som Oracle nu kan gøre det. Normalt opdaterer de jo løbende software, når der opstår sikkerhedshuller"

Nu har de kriminelle jo kendt til sårbarheden længere end Oracle, så hvis man vil sikre sig imod 0days i Java, så skal man forhindre at Java kan bruges af andre sites end dem, man stoler på...banken og den slags.

Men det passer jo heller ikke, at Oracle opdaterer softwaren, når de lærer om nye sårbarheder. Trenden er da, at der går måneder, fra de hører om sårbarheder, og til der er en løsning klar.

  • more_vert
    • insert_linkKopier link
5
Keld Sørensen
11. januar 2013 kl. 11:36

... hvor er I henne ? Skal hele samfundet lægges ned fordi I FRA STARTEN har godkendt brug af en løsning, som er BETYDELIG RINGERE end den, som allerede fandtes dengang ?

Det er dog utroligt - hvor længe skal vi betale jer løn for SÅ dårligt arbejde ?

GlemID ... få det dog lavet om - hellere i går end i morgen !

  • more_vert
    • insert_linkKopier link
4
Dennis Krøger
11. januar 2013 kl. 11:32

Jeg fatter ikke hvorfor Oracle ikke bare dræber det skrammel plugin.

Gang på gang er der problemer med Java's browser plugin, som næsten ingen (udover NemID, fordi de er en flok paddehatte) alligevel bruger til noget.

På grund af deres stædighed får Java et dårligere og dårligere ry, på trods af at langt den største del af platformen ikke har de store sikkerhedsproblemer.

  • more_vert
    • insert_linkKopier link
14
Johan Brinch
11. januar 2013 kl. 12:11

Det er vidst ikke til at sige pt. om IcedTea plugin'et er påvirket, så indtil videre må man antage, at den er det.

Det kan ydermere anbefales at installere noscript (https://noscript.net) og sætte den til kun at acceptere scripts fra betroede sider som udgangspunkt. Den kan også sættes til at sikre HTTPS på nogle faste domæner som f.eks. danid.dk, nets-danid.dk, .dk, google.com, google.dk, facebook.com mv.

For de tekniske kan det anbefales at køre sin browser under en anden bruger på system. Min startes på Linux med kommandoen "sudo -u www iceweasel", men det kræver lidt mere opsætning.

Windows-brugere kan evt. prøve isolation/sandboxing programmer som f.eks. sandboxie eller forsøge sig med unprivilegedj accounts (https://www.markwilson.co.uk/blog/2006/05/using-unprivileged-accounts-in-windows.htm).

  • more_vert
    • insert_linkKopier link
2
Erik Bruus
11. januar 2013 kl. 11:29

Til dette er der kun en ting at sige. Åhhhhhhhh. Kan vi dog ikke snart slippe for JAVA. "Det ville bår være dejli" som de ville have sagt i The Julekalender. mvh, Erik.

  • more_vert
    • insert_linkKopier link
1
Benni Bennetsen
11. januar 2013 kl. 11:27

Nu er der skrevet rigeligt om emnet, så vælger at dreje fokus her lidt.. "»Danmark er ikke særlig interessant for it-kriminelle, der vil udnytte en 0-dagssårbarhed i eksempelvis Internet Explorer, fordi der er så stor spredning i de browsere, danskerne bruger. "

Det passer jo ikke, hver gang man ser undersøgelse, eller jeg ser på egne tal, så står IE for 90% ca af browserne.. Så det er et meget sikkert mål at gå efter på højde med java ?

  • more_vert
    • insert_linkKopier link
8
Flemming Jønsson
11. januar 2013 kl. 11:44

@Benni

...
Det passer jo ikke, hver gang man ser undersøgelse, eller jeg ser på egne tal, så står IE for 90% ca af browserne..

90% alligevel - det tvivler jeg nu lidt på. Det er muligt dine besøgende hovedsageligt er IE brugere, men tager vi nu f.eks. fdim, som laver statistik for en hel del pagehits per måned i DK, så er tallet selvom vi lægger alle IE versioner sammen kun omkring 50%: Browser barometer fra FDIM

  • more_vert
    • insert_linkKopier link
10
Benni Bennetsen
11. januar 2013 kl. 11:48

Hvor har du de tal fra ? De 60% plejer at være internationalt ? Danskerne er på vores websider, med helt almindelige brugere, vilde med IE, så længe man rent ser på desktop. Flemmming: Der er blandet mobil data ind, går ikke ud fra det er relevant, når vi taler java.

  • more_vert
    • insert_linkKopier link