DanID’s anbefaling til Java-truede NemID-danskere: Gør som I plejer

På trods af det farlige sikkerhedshul i Java kan danskerne bruge NemID og Java, helt som de plejer, lyder anbefalingen fra DanID. Sikkerhedshullet er Oracles problem.

Mens internationale sikkerhedseksperter på stribe advarer mod det farlige Java-hul og anbefaler, at man fjerner Java, er der ikke nogen særmelding til danskerne fra Nets DanID, som driver NemID.

Læs også: Stort sikkerhedshul i Java åbner for angreb

For at bruge NemID på computeren skal Java nemlig være installeret og aktiveret i browseren, og dermed er computeren automatisk i farezonen på nettet, da der endnu ikke findes en opdatering, der stopper hullet.

Men danskerne skal ikke begynde at deaktivere Java, men blot gøre, som de plejer, lyder det fra Ulrik Marschall, pressetalsmand hos DanID.

»Vi anbefaler netbankbrugere at gøre, som de altid har gjort. De skal være opmærksom på uregelmæssigheder. Vi har taget kontakt til Oracle for at høre, hvornår de forventer at gøre noget ved sikkerhedshullet. Det er de anbefalinger, vi kan gå ud med nu,« siger han til Version2.

Så man kan bruge Java, som man plejer, mener I?

»Ja - hold øje med uregelmæssigheder. Virus kan jo komme på computeren på mange forskellige måder. Lige nu er det så Java, men jeg er sikker på, at de arbejder hurtigt på at få lukket det hul igen, ligesom hvis det var Microsoft eller andre.«

»Vi anbefaler, som vi altid gør i den slags situationer, at brugerne er opmærksomme på, når de er i netbank, om der er uregelmæssige transaktioner. Samtidig overvåger vi bankerne og netbankerne for at se, om vi kan stoppe eventuelle forsøg på netbanksmisbrug. Det gør vi jo hele tiden, det har ikke så meget lige med Java at gøre, for der kan jo komme virus ind på alle mulige måder.«

Det handler jo ikke nødvendigvis om netbankindbrud, men om at man er i farezonen og ikke kan beskytte sig, så længe man har Java installeret og aktiveret.

»Det kan vi jo ikke rigtig gøre noget ved - det er Oracles program, så de må også være interesserede i at få lukket det hul. Vi kan tage kontakt med dem for at høre, hvornår de forventer, hullet er lukket, og så kan vi holde øje med NemID og netbankerne, som vi gør hele tiden, og så anbefale at brugerne er opmærksomme, hvis de for eksempel bliver bedt om deres nøgle to gange.«

Internationale sikkerhedseksperter anbefaler at man ikke har Java installeret og aktiveret - og hvis man har brug for Java, så gør det i en virtuel maskine eller bruger en browser kun til Java-brug. Er det noget, I vil anbefale?

»Det er ikke det, vi anbefaler. Det må brugerne gøre, hvis de gerne vil gøre det, men vi anbefaler hellere, at de er opmærksomme, når de bruger deres NemID, og så skal vi nok holde øje med netbankerne.«

Læs også: NemID-hackere udnytter huller i Java

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jens Schumacher

Jeg bruger google chrome som min "rigtige" browser. Der har jeg slået java fra i chrome://plugins/

Når jeg skal på netbank eller andre slemID sider starter jeg IE som sjovt nok har min netbank som start side.

Jeg orker seriøst ikke til at skulle lave en VM bare for at kunne bruge slemID.

  • 6
  • 3
#3 Jens Schumacher

@work bruger jeg min maskine til at kode .net programmer til windows dagen lang. @home bruger jeg min maskine til at game på og intet andet.

Jeg er meget stor fan af linux og kan se mange fordele ved det men som tingene står lige nu er linux i kassen med ligegyldige styresystemer jeg sammen med DOS, OS2-Warp, OS X osv osv osv...

:-)

  • 5
  • 4
#6 Ole Wolf

Jeg ville ønske, jeg havde fået den slags råd tidligere, men det er jo stadig ikke for sent at følge det.

Derfor vil jeg straks afinstallere enhver form for firewall og antivirussoftware til Windows. Det er jo Microsoft, der har lavet det, og de er vel interesserede i at rette fejl. Det er ikke noget problem at køre software på en usikker platform.

  • 11
  • 2
#8 Maciej Szeliga

Det er Oracles software og dermed også Oracles problem på samme måde som huller i Windows er Microsofts problem og huller i Ubuntu er Cannonicals problem.

Så kan man så spg. dem om den valgte løsning er lavet rigtigt hvis dean afhænger af et eller andet program X som potentielt kan have huller (men på den anden side så har vi set huller i alt software).

For at fortsætte bilanalogierne: er biler bygget rigtigt hvis ulykker med personskade fortsat sker ?

  • 6
  • 1
#9 Michael N. Jensen

Ville så hellere at de ikke var afhængige af noget addon til en browser, om det så er Java, ActiveX eller noget andet for at køre, hvis de bare havde lavet det via helt almindelig html som andre banker fint kunne gøre tidligere, koblet sammen med en ekstern token.

Browseren kan selvfølgelig også have sikkerheds huller, men ved at skære unødvendige browser addons væk minimerer man da trods alt sikkerheds risikoen.

Derfor synes jeg sagtens man kan påstå det er NemID/DanIDs problem at de har valgt at udsætte brugerne for yderligere risiko ved deres valg af deres løsning, det er for nemt bare at smide ansvaret hen på Oracle.

  • 14
  • 2
#11 Ole Wolf

Derfor synes jeg sagtens man kan påstå det er NemID/DanIDs problem at de har valgt at udsætte brugerne for yderligere risiko ved deres valg af deres løsning

Dette skal ikke mindst ses i lyset af, at DanID oprindeligt hævdede, at brugerne ikke skulle installere applikationer på deres PC, men siden valgte at benytte sig af Java.

  • 11
  • 0
#12 Jesper Lund

DanID udtaler

Samtidig overvåger vi bankerne og netbankerne for at se, om vi kan stoppe eventuelle forsøg på netbanksmisbrug. Det gør vi jo hele tiden, det har ikke så meget lige med Java at gøre, for der kan jo komme virus ind på alle mulige måder.«

Det er meget godt. Bankerne har 10-15 års erfaringer med alle mulige angreb på netbanker, så de problemer som dette Java hul skaber er givetvis håndterbare for DanID.

Men NemID (når det er OCES NemID) bruges andre steder end i netbankerne.

Kan vi få en tilsvarende erklæring af det offentlige, og andre som bruges OCES NemID, om at de har forhøjet beredskab med at overvåge mistænkelig anvendelse af NemID på grund af dette Java hul?

  • 7
  • 0
#13 Nicolai Møller-Andersen

Der er jo tradition for - i branchen - at man ikke tager ansvar for ulykker forårsaget af fejl i produktet. Man bytter bare til en nyere version; DanID har jo ikke andre muligheder end at skrotte deres eget produkt eller skyde skylden på en underleverandør, nemlig Oracle. Tough call :-D

Her er en anden bil analogi: DanID anbefaler, at man kører videre, som om intet var hændt, selvom bilen - nårsomhelst - kan explodere.

  • 5
  • 0
#14 Jakob Damkjær

Nu siger de kloge at man ikke må skifte til java 1.6_33 (som ikke er påvirket af dette exploit)... Hvorfor er det ikke en mulig midlertidigt svar på dette exploit ?

Er der upatchede exploits i 1.6_33 ?

(eg. Den version af java Mac os x stadig benytter mm man har lavet ni ja tricks og installere direkte fra oracle (hvor man skal ind på oracle og downloade) hvor hvis man går ind på java.com sendes man stadig til 1.6_33 fra Apple eller dobbeltklikker på noget java og den autoinstalere java.

Desuden er der ekstra sikkerhed da java bliver slået fra automatisk efter lidt tid hvor man ikke har benyttet det...

Så er der et problem med 1.6_33 eller er det bare dumme konsulenter der ikke er interesseret i andet end at lave ballade og få opmærksomhed... Ellers er det jo ret simpelt at lave et rollback)

  • 1
  • 6
#15 Thue Kristensen

I Google Chrome kan man under indstillinger aktivere click-to-play for alle plugins (dvs java og flash). Dvs det er indbygget, man behøver ikke en udvidelse så som flashblock eller noscript.

noscript til Firefox kan gøre java-applets click-to-play, tror jeg nok.

  • 1
  • 0
#18 Anders Kreinøe

Kan ikke svarer på vejne af Chrome, men i Opera kan du kun gøre det for plugins generelt.

Hvor mange plugins har du? jeg kan nærmest ikke tænkte på andre end java og flash, og begge vil da være rimelige fornugtife at blokere, i hvert fald ud fra et sikkerhedsmæssigt synspunkt.

  • 1
  • 0
#20 Jens Schumacher

"chrome://plugins/" siger

Flash Remoting Viewer Native Client Chrome PDF Viewer Adobe Acrobat Google Talk Google Earth Plugin Google Update Java Silverlight

Og niks de skal ikke være klik to play alle sammen så slider jeg min finger op i løbet af en arbejdsdag.... (Adobe Acrobat og JAVA pluginnet er for øvrigt disabled)

  • 0
  • 0
#22 Thue Kristensen
Internationale sikkerhedseksperter anbefaler at man ikke har Java installeret og aktiveret - og hvis man har brug for Java, så gør det i en virtuel maskine eller bruger en browser kun til Java-brug. Er det noget, I vil anbefale?

»Det er ikke det, vi anbefaler. Det må brugerne gøre, hvis de gerne vil gøre det, men vi anbefaler hellere, at de er opmærksomme, når de bruger deres NemID, og så skal vi nok holde øje med netbankerne.«

Hvad er det for et nonsens-svar fra DanID's side? Hvordan skulle det at være "opmærksom når man bruger NemID" beskytte mod zero-day sikkerhedshuller i java?

Det er som om DanID er fuldstændigt blinde for, at brugeren har andre sikkerhedshensyn end selve øjeblikket hvor han logger ind via NemID. Derfor er DanID ligeglade med hvor mange sikkerhedshuller Java har.

  • 2
  • 0
#23 Jørgen Ramskov

Click-to-play findes også i Firefox, gå ind i about:config og søg efter "click_to_play". Det er dog stadigt i test fasen så vidt jeg ved.

Hvis jeg enabled click-to-play i Chrome eller Firefox, så kan jeg ikke få nemid til at fungere. Jeg får en besked om at Java ikke er installeret og får ikke nogen mulighed for at klikke og enable plugin'et.

  • 0
  • 0
#25 Peter Mogensen

Dette skal ikke mindst ses i lyset af, at DanID oprindeligt hævdede, at brugerne ikke skulle installere applikationer på deres PC, men siden valgte at benytte sig af Java.

OG! at kritikken af DanIDs løsning (centralt lagrende private nøgler og priviligerede Java applets) gang på gang blev frejdigt affejet med at det var helt og aldeles frivilligt om man ville bruge NemID som OCES signatur. Man kunne bare sige nej. Seneste skud på stammen i en lang række ting man åbenbart må undværre som borger uden NemID er muligheden for at tilmelde sig nettomålerordningen.

  • 0
  • 0
#26 Jesper Poulsen

Jeg orker seriøst ikke til at skulle lave en VM bare for at kunne bruge slemID.

Det tager nu ingen tid at smække en VM op til NemID - en VM giver i øvrigt flere fordele, bl.a. at du slipper for at have eksekverbare filer forklædt som billedfiler til at datamine din computer.

Vælger du Linux til din VM kan du bruge IcedTea i stedet for Oracle Java og dermed slippe for Oracle's langsommelige fejlretningsprocedurer.

  • 0
  • 0
#28 Henning Larsen

OpenJDK som er en open source implementation af Java fungere upåklageligt sammen med Ubuntu og sandsynligvis også andre Linux distrobutioner. Jeg har ivertfald brugt det i godt et år uden problemer.

Jeg er ikke helt sikker på om OpenJDK også er ramt af sikkerhedsbristen, men en blog som DK-CERT linker til, skriver følgende:

http://blog.fireeye.com/research/2012/08/java-zero-day-first-outbreak.html

Users of Mac and Linux might choose OpenJDK, an open source implementation of the JRE provided by Oracle.

Jeg har lavet en Apparmor (mandatory access control) profil til OpenJDK, så jeg har fuld kontrol over hvilket filer NemID tilgår på min computer. Jeg har spærret for alt skrive samt læseadgang til mine private filer og sørget for at NemID får et absolut minimum af rettigheder til de filer som er nødvendige at få NemID til at fungere. Prøver NemID f.eks. at tilgå min dokument mappe, vil adgangen blive spærret og samtidig vil det blive skrevet i loggen, så jeg kan se at det er forsøgt.

Dette er lidt mindre sikkert alternativ til en VM, men knapt så besværligt som at skulle holde flere systemer opdateret.

  • 0
  • 0
#29 Finn Christensen

noscript til Firefox kan gøre java-applets click-to-play, tror jeg nok.

Firefox har en on-click add-on "QuickJava" for det meste af ragelset.. fungerer fint sammen også med noscript og øvrige (har brugt den i lang tid nu) https://addons.mozilla.org/en-US/firefox/addon/quickjava/

QuickJava is a Firefox extension that allows you to easily enable/disable Java, JavaScript, Images, Flash and more directly from the toolbar and/or status bar!

  • 0
  • 0
#30 Peter Johan Bruun

Det kan godt være at jeg kommer hovedkulds ind i nemid debatten. Men når man læser artiiklen her og andre skriverier i andre medier så er der uværgeligt en tanke der presser sig på: hvorfor bruge Java, når man kunne have skrevet det i et platformsafhængigt sprog ?

Jeg mener: jo færre mellemled der er i et sikkerhedsfirma, der passer på dit hus, jo mindre chance er der for at der er kriminelle tilstede i organisationen....og jo hurtigere kan du få afdækket risikoen når uheldet er ude.

Bevares det ville have taget mindst fire gange så lang tid at udvikle, men nu er det jo ikke et login til en idrætsklubs hjemmeside vi taler om.

/peter j bruun

  • 1
  • 1
#31 Peter Mogensen

Problemet med Java er ikke at det ikke er platformuafhængigt (well... i praksis er det nok begrænset til de platforme Suns/Oracles java kører på, men i teorien...)

Problemet med Java er at det er unødvendigt og det er unødvendigt at køre det som priviligeret kode i browseren. Princippet i Java i browseren er sådanset godtnok. Lav et sprog, der kan køre ens alle vegne og køre i en sandkasse. Problemet er blot at med de andre mere simple teknologier, der allerede er i alle browsere (som f.eks. javascript) er Java unødvendigt til at lave et åben standard basere digitalt signatur system - hvilket burde være det Danmark havde ønsket sig. Det er imidlertid ikke det DanID har ønsket sig. Samtidig er Java stort og komplekst og - som vi kan se - plaget af sikkerhedshuller, der rammer meget bredt, fordi det (i modsætning til Javascript implementationer) i praksis er en mono-kultur. Mange brugere har ikke brug for at have Java, hvis det ikke var for NemID. DanID påfører altså hele Danmark en unødvendig sikkerhedsbyrde.

Og for at gøre det helt absurd, har DanID så valgt at kræve at deres Java-kode skal bryde ud af sandkassen og køre som priviligeret applet. Det skal brugerne så sige ja til når man installerer NemID. Det er også totalt unødvendigt og gør i praksis DanID til intruder på brugernes computere.

Man har med NemID afskrevet sig urimelig meget kontrol over sikkerheden på ens computer.

... og så er vi slet ikke nået til at snakke om de centralt lagrede private nøgler.

  • 1
  • 1
#32 Peter Johan Bruun

@peter mogensen: Tak for uddybning. Det lyder som om man stadig godt kunne undre sig over den valgte arkitektur, og de deraf følgende sikkerhedsforringelser. Min tanke opstod fordi jeg ligenu sidder på en iOS enhed, og de klienter er naturligvis ikke ramt af problemet.

Det er i det hele taget hovedrystende, at man beder almindelige mennesker, der blot kalder IE7 for slet og ret "internettet", om at køre to forskellige browsertyper og deaktivere et plugin for andre end nemid sider i den ene...men det kommer sig altsammen fra et fejlslagent valg af arkitektur.

/peter j. bruun

  • 1
  • 0
#33 Maciej Szeliga

...man kunne lige så godt sige at C++ eller .NET er unødvendigt. 1. Java, som alle andre prog. sprog, kan erklæres unødvendigt, det er alligevel meget bedre at skrive direkte i maskinkode! 2. Fejl sker! Ved flere komponenter er der flere fejlmuligheder. 3. Java, i modsætning til de fleste andre prog. sprog, giver mulighed for at lave løsninger som kører på flere forsk. systemer.

Men alt det er en hel anden debat. Sagen er at NemID, som det er lavet, slet ikke behøvede være lavet i Java. Den dybere forklaring på Java i NemID skal nok findes i at man ville lave en løsning som let kunne udvides til en rigtig digital signatur løsning.

Nej, jeg er ikke fortaler for NemID! Til gengæld er jeg ret stor fortaler for Java... for jeg kan flytte og afvikler Java applikationer på forsk. platforme uden det helt store ståhej.

  • 1
  • 0
#34 Peter Johan Bruun

@Maciej Szeliga: Det var ikke javas eksistensbertigelse jeg var ude efter. Blot ønsker jeg at en hel nations IT sikkerhed bliver Implementeret med så få risikoled i sikkerhedskæden som overhovedet muligt....Det er et ældgammelt dilemma vi drøfter her: "who will guard the guards ?".

Men der må ikke herske tvivl om at jeg er stor fan af platformsuafhængige tiltag, herunder java, for det sparer masser af arbejde når det anvendes i de rette sammenhænge

/peter j. bruun

  • 0
  • 0
#35 Peter Mogensen

@Maciej Szeliga

Du har tydeligvis slet ikke forstået problemet. Prøv at læse igen. Nøgleord: "mono-kultur", "priviligeret kode", "kan løses simplere".

Ad 1) Nej. Man kunne ikke ligeså godt sige at C++, .Net eller noget andet er unødvendigt. Jeg har intet imod Java. Jeg har blot noget imod at løse den opgave DanID fik med Java - særlig priviligerede applets. Og nej, man kunne ikke ligeså godt skrive det i maskinkode. ... du kan forhåbentlig selv regne ud hvorfor det er et rigtig dårlig argument imod min kritik. Ad 2) Ja. Fejl sker. Men fejl i en mono-kultur er et større problem en blot fejl i tilfældige implementeringer rundt omkring. Og en selv-skabt mono-kultur for en masse brugere der slet ikke havde brug for det software uden NemID er en rigtig dårlig ide. - uanset hvilken teknologi man laver det med. Jeg har ikke noget specielt horn i siden på Java. Ad 3) Du modsætning til f.eks. Javascript?

  • 0
  • 0
#36 Maciej Szeliga

Du har tydeligvis slet ikke forstået problemet. Prøv at læse igen. Nøgleord: "mono-kultur", "priviligeret kode", "kan løses simplere".

Jo det har jeg og det skriver jeg også længere nede.

Selvf. er fejl i en monokultur mere omfattende, Microsoft monokulturen er det bedste eksempel på det.

Jeg syntes bare at der bliver hakket lige pt. mere på selve Java end på at NemID kører i Java.

  • 0
  • 0
Log ind eller Opret konto for at kommentere