DanID: Java-tvang kan gøre danskernes pc'er sårbare

Java gør NemID sikker, men danskernes pc'er bliver sårbare, hvis ikke de selv sørger for at holde softwaren opdateret, erkender NemID-firmaet DanID.

Nets DanID erkender nu, at den Java-teknologi, som danskerne er tvunget til at installere for at bruge NemID, i visse tilfælde kan gøre pc'en derhjemme sårbar overfor hackerangreb.

Men Hr. og Fru Danmark må selv ligge og rode med at holde Java opdateret for at gøre softwaren så sikker som mulig, fastslår NemID-firmaet.

Flere eksperter har tidligere på Version2 fundet det problematisk, at NemID-løsningen tvinger brugerne til at installere Java, fordi Java i sig selv har vist sig at indeholde sikkerhedshuller, som kan gøre en computer sårbar over for angreb.

»Hvis man ikke opdaterer Java på sin computer og følger de sikkerhedsanvisninger, der er fra leverandøren, så kan programmet være med til at gøre ens computer sårbar. Det samme gør sig gældende for andre programmer, for eksempel Flash og PDF-læsere. Så det bør man som bruger altid være opmærksom på, hvilket vi også gør opmærksom på i vores brugerregler,« skriver Søren Winge, pressechef i DanID, i en e-mail til Version2.

Dermed lægger DanID op til, at det alene er folks eget ansvar at vedligeholde den software, som det er nødvendigt at installere for at kunne anvende NemID.

DanID: Java gør NemID mere sikker

Selvom danskerne altså bliver tvunget til at installere software, der potentielt gør deres computer usikker, hvis de vil anvende DanID’s login-løsning, som netop skal forestille at handle om sikkerhed, Søren Winge stadig, Java er en god platform at bygge NemID på.

»NemID anvender Java, da der er en del funktionalitet, der bedst løses ved brug af denne teknologi. Eksempelvis er der en række kryptografiske protokoller, der sikrer end-to-end sikkerhed fra appletten og helt ind i det såkaldte HSM, Hardware Security Module, hos Nets DanID,« skriver han og fortsætter:

»Så Java medvirker til, at vores løsning både er meget sikker, og samtidig meget brugervenlig. Vi forholder os hele tiden til den aktuelle trusselsituation, og som misbrugsbilledet ser ud i dag, er vi helt trygge ved at benytte Java-teknologien.«

Java droppet i Sverige

I Sverige er man gået væk fra at anvende Java i den svenske pendant til NemID, BankID. Blandt andet på grund af bekymringer i forhold til netop sikkerhedsproblemer i Java, har den svenske sikkerhedschef i firmaet bag BankID Robert Carlsson tidligere oplyst til Version2 og Ingeniøren.

Læs også: Java-baseret NemID-teknologi for usikker til svenskerne

I stedet har svenskerne udviklet et stykke software, som kører direkte på en række forskellige platforme som iPhone, Windows, Linux, Android og Mac.

Søren Winge oplyser, at DanID er bekendt med de overvejelser, som også svenskerne har gjort sig i forhold til blandt andet Java:

»Vi har undersøgt og overvejet de samme ting, som refereres i Version2’s artikel om svensk BankID. Vi vurderer, at fordelene – både sikkerhedsmæssigt og brugervenlighedsmæssigt – er større end ulemperne, og vi har ikke nogen betænkeligheder med at benytte Java-teknologien i forhold til NemID,« oplyser Søren Winge.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thue Kristensen

»NemID anvender Java, da der er en del funktionalitet, der bedst løses ved brug af denne teknologi. Eksempelvis er der en række kryptografiske protokoller, der sikrer end-to-end sikkerhed fra appletten og helt ind i det såkaldte HSM, Hardware Security Module, hos Nets DanID,« skriver han og fortsætter:

Jeg forstår ikke argumentet med kryptering via java. https betragtes jo som sikker, så hvad er pointen med at lægge ekstra kryptering ind i?

Og tror de virkeligt at den meget hypotetiske ekstra sikkerhed er vigtigere end de sikkerhedshuller de åbner hos de mange danskere, som ikke kan finde ud af at holde deres Java-installation opdateret?

Og hvorfor kan denne ekstra kryptering ikke foretages i JavaScript?

  • 1
  • 1
Thue Kristensen

»Hvis man ikke opdaterer Java på sin computer og følger de sikkerhedsanvisninger, der er fra leverandøren, så kan programmet være med til at gøre ens computer sårbar. Det samme gør sig gældende for andre programmer, for eksempel Flash og PDF-læsere. Så det bør man som bruger altid være opmærksom på, hvilket vi også gør opmærksom på i vores brugerregler,« skriver Søren Winge, pressechef i DanID, i en e-mail til Version2.

Det ignorerer muligheden for zero-day huller.

Java har også en elendig sikkerheds-historie. Her er for eksempel en historie om de 17 sikkerhedshuller som gav remote code execution som blev rettet ved Java 6 update 26 i juni 2011. Det er ikke noget software som jeg ville være tryg ved at have installeret!

  • 0
  • 0
Jesper Lund

når de alligevel har fuld kontrol over maksinen kan de vel se om det er nyeste java og så disable logon hvis man benytter en usikker version lidt some crome påpeget gamle versioner

I så fald skal DanID stramme gevaldigt op på hvordan de identificerer Java versionen. Når jeg bruger OpenJDK (seneste version på min Linux distro) mener DanID at jeg bruger en gammel version af Sun Java.

Krav om seneste version hjælper heller ikke mod 0-day problemerne. Og det vil give rigtigt mange problemer på arbejdspladser, hvor IT-afdelingen laver grundige tests af nye versioner inden de rulles ud.

  • 2
  • 0
Johan RB

Det er muligt at versions-check ikke løser problemet med 0-day exploits, men det er ikke desto mindre et kæmpe skridt i den rigtige retning. Jeg kommer i mit daglige arbejde rundt til en masse private mennesker og hjælper dem med at få internetforbindelsen op at køre på deres computer (TDC-tekniker), og de fleste har en Java der er håbløst forældret. Jeg så 6u20 så sent som i dag. At gøre folk opmærksom at deres Java-platform er forældet, samt at den er vigtig at holde opdateret, ville være en hjælp for mange.

Iøvrigt ville jeg ønske at Java var noget mere aggressiv med at skubbe opdateringer ud.

Men med Java, som med alt andet software, så er det i sidste ende brugernes ansvar og problem at holde det vedlige. Det gælder sådan set for alle redkaber og hjælpemidler vi bruger her i livet.

  • 2
  • 0
Hans Schou

Thue Kristensen

https betragtes jo som sikker, så hvad er pointen med at lægge ekstra kryptering ind i?

Ved nærmere eftertanke, så betragtes https jo ikke som helt sikker (se fx Comodo-hacket). Men hvis man er i stand til at hacke https, så kan man jo bare lade det hack på siden som NemID bliver brugt fra (fx https://skat.dk), og så lave Man-in-the-Middle.

Jyskebank brugte EcmaScript (JavaScript, men det har ikke noget med Java at gøre) i mere end 10 år. SSL er ikke nok alene, så de lagde et par ekstra EcmaScript lag oven i. Det virkede ikke med programmet "links", men jeg fik taget en kopi http://w0.dk/~chlor/jyskebank/ af scriptsene.

Ved login i første skærmbillede bliver man spurgt om:
* CPR-nummer (eller et selvvalgt nummer)
* Nøglekortnummer

Herefter skulle man indtaste:
* Hvad er de 4 cifre ud for "12 AB"
* Kodeord (valgt af banken)

Man-in-the-middle-attack var muligt, men jeg tror aldrig at det skete.

Jeg har prøvet med et NemID fake-site, men fik ikke NemID pass-through til at virke på dette fake-site. Jeg gætter på at der skal sættes en port-proxy op eller noget. Om ikke andet, så er her en kopi af hele sitet, bortset fra nogle imagefiler der er byttet ud så man kan se at det er snyd http://tastselv.skat.w0.dk/ (login og password er: fishing)

Der var fordele/ulemper ved både EcmaScript/Java, men EcmaScript var nu langt at foretrække.

  • 5
  • 0
Johan Brinch

Når jeg bruger OpenJDK (seneste version på min Linux distro) mener DanID at jeg bruger en gammel version af Sun Java.

Sidst jeg tjekkede kaldte NemID's java applet Sun specifikt API, hvilket vil sige, at den er låst til Sun's platform. Så lœnge de gør det, skal du ikke regne med, at den kan køres med OpenJDK.

  • 0
  • 0
Thue Kristensen
  • 0
  • 0
Anonym

Det underlige ved NemID er, at man kender andre løsninger, men anvender en løsning som er usikker. Hvorfor gør man det ?
Er sandheden, at man i forbindelse med udviklingen af NemID simpelthen ikke har de nødvendige kompetencer, altså ikke er i stand til at levere en færdig løsning ?

Med den udtalelse der nu kommer fra Søren Winge, så er det klart, at NemID ikke er en sikker løsning for hr. og fru. " ikke IT Nørd ". Man skal simpelthen kunne overskue hvilke opdateringer der er relevante, for at NemID fungerer, herunder skelne mellem alle de opdateringer, der kommer fra forskellige leverandører.
Det er kun folk med lidt dybere indsigt i IT, der overhovedet har den mindste mulighed for at følge med i dette. Det handler jo ikke kun om at man skal kunne gennemskue hvad en opdatering omkring Java betyder, der kommer jo et utal af opdateringer til alle styresystemerne, og de opdateringer har tilsvarende indflydelse på sikkerheden.

NemID er grundlæggende forkert grebet an. Løsningen skal ikke ligge på klienterne, men på serversiden.
Det kan simpelthen ikke blive en sikker løsning, hvis det skal have grundlag i alle klienternes systemer er sikre.

  • 1
  • 2
Finn Aarup Nielsen

Er DanID ikke i stand til at kigge på HTTP referer feltet således at de under normale omstændigheder kan se at deres NemID Java applet bliver inkluderet fra et fake-site? (Måske forstår jeg ikke setuppet) Skal hackere ikke køre deres egen fake applet der opsamler kodeord?

  • 0
  • 0
Log ind eller Opret konto for at kommentere