Ekspert til danskerne: Brug kun NemID i en særskilt browser

27. december 2011 kl. 10:4432
Installer en sekundær browser, som du kun bruger til Java og NemID-formål, siger finsk sikkerhedsekspert.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Den finske it-sikkerhedsekspert Mikko Hyppönen anbefaler danskerne at holde Java og NemID langt væk fra den browser, man bruger til hverdag.

I stedet bør man installere en browser ved siden af, som alene bruges til at logge på netbanken eller gå på Skat.dk med NemID.

Det skriver Mikko Hyppönen, der er chefforsker ved antivirusfirmaet F-Secure, i en e-mail til Version2.

Bruger du for eksempel Internet Explorer til hverdag, så installer Firefox ved siden af og brug den til dine NemID-opgaver alene:

Artiklen fortsætter efter annoncen

»Hvis du har brug for Java til for eksempel NemID, så kan du selvfølgelig ikke slette det. Men afinstaller plugin'et (Java, red.) fra din browser og brug udelukkende en sekundær browser med plugin'et installeret til at tilgå de hjemmesider, der har brug for det,« skriver Mikko Hyppönen i en e-mail til Version2.

Han kritiserede før jul Java-teknologien for at være sårbar over for hackere, når den bruges som et plugin i brugerens browser.

Derfor anbefalede han generelt, at man afinstallerer Java-plugin'et fra sin browser, hvis ikke man har brug for Java.

Nets DanID, der står bag NemID, har efterfølgende afvist over for Version2, at sårbarhederne i Java-plugin'et lige nu udgør et potentielt problem for sikkerheden omkring NemID.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Nets DanID følger dog trusselsbilledet tæt.

Problemet er ikke nødvendigvis i sig selv Java-applikationer som NemID, understreger Mikko Hyppönen over for Version2.

Det er der i mod, at hackerne står i kø for at sende ondsindede Java-exploits i retning af intetanende brugere, der besøger hjemmesider uden at have opdateret deres Java-plugins.

Han nævner et aktuelt eksempel, hvor menneskerettighedsorganisationen Amnestys britiske hjemmeside lillejuleaften blev hacket og fik lagt en iframe - et HTML-element - op med et link til en brasiliansk server, der hoster exploit-kode til en af de aktuelle sårbarheder, Java Rhino.

Java Rhino er en af de sårbarheder, der i stor stil er blevet misbrugt af hackere til at kapre brugeres pc'er.

»For at mindske risikoen for at blive ramt af den slags angreb bør man fjerne Java-plugin'et fra sin browser. Eller køre Chrome, der har bedre sandboxing (beskyttet miljø, red.) til Java. Eller sørge for at holde Java helt up to date,« forklarer Mikko Hyppönen til Version2.

Han understreger, at hans kritik kun retter sig mod Java-appletter på web.

»Java-applikationer på din pc eller på servere er en helt anden historie,« skriver Mikko Hyppönen.

Fokus
Emner
32 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
25
Christian Nobel
27. december 2011 kl. 21:37

Og hvad var det lige der var et af hovedargumenterne for i sin tid at trække det såkaldte NemID ned over hovedet på befolkningen:

Nå jo, befolkningen er så dumme og inkompetente at vi da på ingen måde kan forvente at de selv kan tage vare på deres egen sikkerhed eller deres egen pc, så vi laver en "sikker" løsning.

Og nu er man nødt til at tale om separat browser, sandboxing, og jeg-skal-gi-dig, for ikke at ligge fuldstændig nøgen i feltet.

Hvor var det lige filmen knækkede?

  • more_vert
    • insert_linkKopier link
23
Daniel Gertsen
27. december 2011 kl. 19:23

Hvis pc'en først er inficeret, kan det da være ligemeget om man kun bruger "browser x" til nemid. Hvis fx jeg vælger kun at bruge Firefox til NemId, og bruger Internet Explorer til alt andet, så kan Firefox da stadig blive inficeret via virus eller andet, der kommer ind via Internet Explorer eller anden vej.

En seperat browser giver ikke andet end mere besvær for brugeren, samt lidt ikke-eksisterende ekstra sikkerhed.

  • more_vert
    • insert_linkKopier link
24
Jesper Lund
27. december 2011 kl. 20:14

Hvis fx jeg vælger kun at bruge Firefox til NemId, og bruger Internet Explorer til alt andet, så kan Firefox da stadig blive inficeret via virus eller andet, der kommer ind via Internet Explorer eller anden vej.

Korrekt, men pointen er at du kun skal aktivere Java web plugin i den browser som du bruger til NemID (og kun NemID). Så har du i det mindste mindsket risikoen for Java exploits på ikke-NemID sider (fordi din browser til ikke-NemID sider ikke understøtter Java).

  • more_vert
    • insert_linkKopier link
21
Indsendt af Thomas Hansen (ikke efterprøvet) den tir, 12/27/2011 - 17:20

Af artikel og kommentarer, må man konkluderer, at NemID ikke kan anvendes sikkert, ikke engang på en der til specielt indrettet PC.

Enten er man udsat for, at brugerkonti- og eller selve kommunikationen kan kompromitteres, eller også er man udsat for, at det private firma DanID, gennem NemID, henter unødvendige oplysninger ud af brugernes PC.

NemID er altså ikke en sikker identifikations- og / eller loginløsning, hverken "på kobber" eller mobil, hvad er det så ?

  • more_vert
    • insert_linkKopier link
22
Bjørn Damborg Froberg
27. december 2011 kl. 17:22

En fælles logon løsning til mange forskellige systemer med højere sikkerhed end brugernavn/kodeords systemer - men stadigt et sårbart system.

Det er da et bud på en definition. :P

  • more_vert
    • insert_linkKopier link
17
Kasper Haabb
27. december 2011 kl. 15:53

...
Folk der får virus af den vej, bør ikke benytte en PC, end of fucking discussion!

Ja, lad os lad os få den almene datamatbruger væk fra datamaterne og fremme udviklingen den vej, i stedet for at lave sikkert programmel... Det er uden tvivl bedst for alle

  • more_vert
    • insert_linkKopier link
18
Bjørn Damborg Froberg
27. december 2011 kl. 16:05

Hehe ja, man håber ikke at Hr. Offt sidder i en kunderettet stilling! ;-)

  • more_vert
    • insert_linkKopier link
14
Lasse Offt
27. december 2011 kl. 14:52

Bjørn du henviser til én test. MSE er testet som værende langt bedre end Avast, Panda, AVG og hvad der ellers findes af lorte software man kan installere.. og så er det gratis.. og godt.. og diskret... og velintigreret..

  • more_vert
    • insert_linkKopier link
15
Bjørn Damborg Froberg
27. december 2011 kl. 14:58

Enig, jeg er bestemt ikke fan af Avast, Panda eller AVG.

MSE blev også testet på XP her: http://www.av-test.org/no_cache/en/tests/test-reports/test-reports/?tx_avtestreports_pi1[report_no]=113917

Ydermere har de valgt at deltage et fåtal af gange på VirusBTN, men det nytter ikke at linke dig dertil da man skal betale for at få Deres rapporter.

Mere læsning her:

http://news.techworld.com/security/3277560/microsoft-security-essentials-struggles-in-new-antivirus-tests/

I det hele taget kan du jo tage navnet med i din betragtning. Security Essentials, altså det absolut nødvendige. :)

  • more_vert
    • insert_linkKopier link
20
Bjørn Damborg Froberg
27. december 2011 kl. 16:33

Martin..

jeg linkede til 2 tests. Den ene Windows 7 som ovenstående bruger benytter, den anden til windows XP testen. Windows 7 testen er lidt ældre, men syntes da det var værd at tage begge med - netop for ikke at være lidt objektiv.

  • more_vert
    • insert_linkKopier link
11
Lasse Offt
27. december 2011 kl. 14:44

Come on folkens.. separarte browsere, fængsler, sandboxing og dummy brugere! nu må i sgu lige spænde hjelmen! Almen fornugtig brug af en PC der er opdateres og så er der ingen ko på isen! Jeg har kørt Windows 7, MSE og Chrome så lang tid det har været muligt - og har ALDRIG haft en virus, eller det der ligner..

Folk der får virus af den vej, bør ikke benytte en PC, end of fucking discussion!

  • more_vert
    • insert_linkKopier link
32
Jesper Poulsen
29. december 2011 kl. 13:34

nu må i sgu lige spænde hjelmen!

I lige måde. Siden at du er ret ny her på stedet ville det være fordelagtigt for dig at læse de tidligere debatter vedr. NemID. Ekstremt sandboxing er faktisk den eneste måde at sikre sig på, når vi har med NemID at gøre. Virtuelle maskiner er vejen frem.

  • more_vert
    • insert_linkKopier link
27
Per Erik Rønne
28. december 2011 kl. 08:16

Og den ældre hr. Jensen kan åbenbart først føle sig sikker hvis han holder sig til sin iPad, uden Java og Flash.

Forudsat at han kun skal bruge NemID i forbindelse med DDB, og ellers bruger e-Boks applikationen:-).

  • more_vert
    • insert_linkKopier link
16
Keld Simonsen
27. december 2011 kl. 15:00

Det er også et problem med at Nemid kan udspionere dig på din maskine. Der tales meget om hvor få der har haft problemer med indbrud med nemid, bl.a de 8 fra nordeas man-in-the-middle angreb, men der er ikke nogen statistikker om nemids indbrud på folks PC-er.

  • more_vert
    • insert_linkKopier link
9
Carsten Agger
27. december 2011 kl. 14:25

Jeg har oprettet en selvstændig bruger på min computer, som jeg KUN bruger til NemID.

Den hedder dummy :-). Samtidig har jeg gjort oversigten over brugernes hjemmemapper ulæselig for andre end systemadministratorer.

Jeg kan så gå på netbank med en kommando som:

  1. ssh -Y dummy@localhost firefox

Oprindelig kørte jeg det i chroot-fængsel, men det besluttede jeg senere var overkill. At have en selvstændig bruger (eller evt. en selvstændig virtuel maskine, som du har oprettet i VirtualBox eller KVM) er derimod ikke overkill, men elementær sikring mod, hvad NemID og Java kunne finde på at skabe af problemer.

  • more_vert
    • insert_linkKopier link
8
Michael Peters
27. december 2011 kl. 13:37

For mange vil det være helt umuligt at afinstallere Java. Hr. og fru Jensen har ingen anelse om disse tekniske spisfindigheder. Set med helt almindelige brugeres øjne og altså ikke dette foras, er det stadig helt hen i vejret at komme med sådanne forslag.

  • more_vert
    • insert_linkKopier link
28
Anders Boholdt-Petersen
28. december 2011 kl. 11:12

Jeg har afinstalleret Java via Tilføj / Fjern Programmer, men kan stadig finde gamle rester i form af filer, nøgler i registreringsdatabasen med mere, hvilket godt nok er noget bøvl at få fjernet.

Ikke noget at sige til, at almindelige mennesker som hr. og fru jensen ikke kan gennemskue, hvordan Java afinstalleres!

Derfor kunne en artikel om korrekt afinstallation være ret interessant.

  • more_vert
    • insert_linkKopier link
29
Bjørn Damborg Froberg
28. december 2011 kl. 12:03

Hejsa Anders,

Der er blot tale om at fjerne plugin'et fra browsere du ikke bruger til NemID.

  • more_vert
    • insert_linkKopier link
7
Slettet bruger
27. december 2011 kl. 13:31

Hvis man er bare en lille smule paranoid (læs: fornuftig) så skal man nok ikke lade sig nøje med en separat browser. Den ekstra "sikkerhed" bygger jo stadig på en formodning om at "der sker nok ikke noget, i den korte tid jeg bruger browser xxx".

Hvis man tager sikkerheden alvorligt, så har man ikke bare en separat browser til "kritiske" opgaver. Nej, så installerer man Virtualbox, som hverken Java eller noget andet kan "bryde ud" af.

Samtidig bliver man så også afskærmet fra snushanerne i PET :-)

  • more_vert
    • insert_linkKopier link
5
Per Erik Rønne
27. december 2011 kl. 12:14

Bruger man Danske Bank bør man vel så kun tilgå banken fra sin iPad; som enhver tv-seer vel efterhånden er blevét klar over, har DDB udgivet deres Danske Tabletbank på Apples AppStore.

Tilsvarende med E-Boks. Her findes også en gratis E-Boks applikation på AppStore.

Begge naturligvis helt fri for java, og heller ikke risiciene ved Flash behøver man tænke på:-)

  • more_vert
    • insert_linkKopier link
4
Bjørn Damborg Froberg
27. december 2011 kl. 11:28

Tak fordi du lavede artiklen som lovet Mikkel. ;-)

Godt nytår!

  • more_vert
    • insert_linkKopier link
1
Carsten Olsen
27. december 2011 kl. 11:12

Eller køre Chrome, der har bedre sandboxing (beskyttet miljø, red.) til Java

  • more_vert
    • insert_linkKopier link
3
Morten Andersen
27. december 2011 kl. 11:22

Carsten, jeg tror lidt idéen bag anbefalingen var at Java slet ikke skulle være tilgængeligt, pånær i den browser man bruger til NemID.

Dog synes jeg historier som denne vidner om sikkerhedseksperter der ikke lever i den virkelige verden. Har altid kørt med Java, flash m.m. og har aldrig fået virus og kender ingen der har. Den største trussel er for mig at se scenarier der kræver lidt "dumhed" fra brugeren: vedhæftninger til mails, phishing, download fra torrents inficeret med virus, kørsel af ActiveX plugins eller Java plugins med native kode (hvilket kræver brugerens accept), afvikling af .EXE filer sider forsøger at downloade m.m. og ikke deciderede exploits. Holder man Java og browser opdateret og kører et hæderligt antivirus, så er risikoen altså meget lille.

Endelig skal man huske at det jo i de fleste situationer vil være banken der hæfter for misbrug, hvis man ellers har opført sig fornuftigt. De fleste private har næppe heller noget information der er interessant nok til nogen vil gå efter det.

Til en PC til erhvervsbrug med forretningshemmeligheder kan man måske argumentere for at risikoen er lidt større, men efter personlig erfaring er den stadig minimal, når man holder sig til forholdsreglerne ovenfor og iøvrigt ikke besøger "mærkelige" sider.

  • more_vert
    • insert_linkKopier link
30
Jesper Poulsen
29. december 2011 kl. 13:22

Endelig skal man huske at det jo i de fleste situationer vil være banken der hæfter for misbrug

Interessant... Så hvis din indentitet er blevet stjålet, dit hus er solgt, du er blevet skilt (eller gift) og din Folkeregisteradresse er blevet ændret, så hæfter banken?

NemID er ikke kun et login til netbank. Den er hele det digitale Danmark. Alt er hængt op på den og banken dækker kun banksagerne - resten hænger du selv på!

  • more_vert
    • insert_linkKopier link
12
Jesper Lund
27. december 2011 kl. 14:47
  • more_vert
    • insert_linkKopier link
10
Bjørn Damborg Froberg
27. december 2011 kl. 14:33

Ja, eller føre musen over det forkerte banner på en inficeret hjemmeside.

  • more_vert
    • insert_linkKopier link
6
Mikkel Høgh
27. december 2011 kl. 13:09
  • more_vert
    • insert_linkKopier link
2
Sune Foldager
27. december 2011 kl. 11:21

Men det hjælper vel ikke meget på signed applets at køre Chrome? De skal jo have adgang.

  • more_vert
    • insert_linkKopier link