Ekspert til danskerne: Brug kun NemID i en særskilt browser

Installer en sekundær browser, som du kun bruger til Java og NemID-formål, siger finsk sikkerhedsekspert.

Den finske it-sikkerhedsekspert Mikko Hyppönen anbefaler danskerne at holde Java og NemID langt væk fra den browser, man bruger til hverdag.

I stedet bør man installere en browser ved siden af, som alene bruges til at logge på netbanken eller gå på Skat.dk med NemID.

Det skriver Mikko Hyppönen, der er chefforsker ved antivirusfirmaet F-Secure, i en e-mail til Version2.

Bruger du for eksempel Internet Explorer til hverdag, så installer Firefox ved siden af og brug den til dine NemID-opgaver alene:

»Hvis du har brug for Java til for eksempel NemID, så kan du selvfølgelig ikke slette det. Men afinstaller plugin'et (Java, red.) fra din browser og brug udelukkende en sekundær browser med plugin'et installeret til at tilgå de hjemmesider, der har brug for det,« skriver Mikko Hyppönen i en e-mail til Version2.

Han kritiserede før jul Java-teknologien for at være sårbar over for hackere, når den bruges som et plugin i brugerens browser.

Derfor anbefalede han generelt, at man afinstallerer Java-plugin'et fra sin browser, hvis ikke man har brug for Java.

Læs også: Ups, NemID! Ekspert anbefaler dig at slette Java fra din browser

Nets DanID, der står bag NemID, har efterfølgende afvist over for Version2, at sårbarhederne i Java-plugin'et lige nu udgør et potentielt problem for sikkerheden omkring NemID.

Nets DanID følger dog trusselsbilledet tæt.

Læs også: DanID efter kritik: Java er fortsat en sikker teknologi til NemID

Problemet er ikke nødvendigvis i sig selv Java-applikationer som NemID, understreger Mikko Hyppönen over for Version2.

Det er der i mod, at hackerne står i kø for at sende ondsindede Java-exploits i retning af intetanende brugere, der besøger hjemmesider uden at have opdateret deres Java-plugins.

Han nævner et aktuelt eksempel, hvor menneskerettighedsorganisationen Amnestys britiske hjemmeside lillejuleaften blev hacket og fik lagt en iframe - et HTML-element - op med et link til en brasiliansk server, der hoster exploit-kode til en af de aktuelle sårbarheder, Java Rhino.

Java Rhino er en af de sårbarheder, der i stor stil er blevet misbrugt af hackere til at kapre brugeres pc'er.

»For at mindske risikoen for at blive ramt af den slags angreb bør man fjerne Java-plugin'et fra sin browser. Eller køre Chrome, der har bedre sandboxing (beskyttet miljø, red.) til Java. Eller sørge for at holde Java helt up to date,« forklarer Mikko Hyppönen til Version2.

Han understreger, at hans kritik kun retter sig mod Java-appletter på web.

»Java-applikationer på din pc eller på servere er en helt anden historie,« skriver Mikko Hyppönen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (32)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Morten Andersen

Carsten, jeg tror lidt idéen bag anbefalingen var at Java slet ikke skulle være tilgængeligt, pånær i den browser man bruger til NemID.

Dog synes jeg historier som denne vidner om sikkerhedseksperter der ikke lever i den virkelige verden. Har altid kørt med Java, flash m.m. og har aldrig fået virus og kender ingen der har. Den største trussel er for mig at se scenarier der kræver lidt "dumhed" fra brugeren: vedhæftninger til mails, phishing, download fra torrents inficeret med virus, kørsel af ActiveX plugins eller Java plugins med native kode (hvilket kræver brugerens accept), afvikling af .EXE filer sider forsøger at downloade m.m. og ikke deciderede exploits. Holder man Java og browser opdateret og kører et hæderligt antivirus, så er risikoen altså meget lille.

Endelig skal man huske at det jo i de fleste situationer vil være banken der hæfter for misbrug, hvis man ellers har opført sig fornuftigt. De fleste private har næppe heller noget information der er interessant nok til nogen vil gå efter det.

Til en PC til erhvervsbrug med forretningshemmeligheder kan man måske argumentere for at risikoen er lidt større, men efter personlig erfaring er den stadig minimal, når man holder sig til forholdsreglerne ovenfor og iøvrigt ikke besøger "mærkelige" sider.

  • 2
  • 5
Per Erik Rønne

Bruger man Danske Bank bør man vel så kun tilgå banken fra sin iPad; som enhver tv-seer vel efterhånden er blevét klar over, har DDB udgivet deres Danske Tabletbank på Apples AppStore.

Tilsvarende med E-Boks. Her findes også en gratis E-Boks applikation på AppStore.

Begge naturligvis helt fri for java, og heller ikke risiciene ved Flash behøver man tænke på:-)

  • 1
  • 3
Mikkel Høgh
  • 5
  • 2
Niels Terp

Hvis man er bare en lille smule paranoid (læs: fornuftig) så skal man nok ikke lade sig nøje med en separat browser. Den ekstra "sikkerhed" bygger jo stadig på en formodning om at "der sker nok ikke noget, i den korte tid jeg bruger browser xxx".

Hvis man tager sikkerheden alvorligt, så har man ikke bare en separat browser til "kritiske" opgaver. Nej, så installerer man Virtualbox, som hverken Java eller noget andet kan "bryde ud" af.

Samtidig bliver man så også afskærmet fra snushanerne i PET :-)

  • 4
  • 2
Michael Peters

For mange vil det være helt umuligt at afinstallere Java. Hr. og fru Jensen har ingen anelse om disse tekniske spisfindigheder. Set med helt almindelige brugeres øjne og altså ikke dette foras, er det stadig helt hen i vejret at komme med sådanne forslag.

  • 4
  • 0
Carsten Agger

Jeg har oprettet en selvstændig bruger på min computer, som jeg KUN bruger til NemID.

Den hedder dummy :-). Samtidig har jeg gjort oversigten over brugernes hjemmemapper ulæselig for andre end systemadministratorer.

Jeg kan så gå på netbank med en kommando som:

ssh -Y dummy@localhost firefox

Oprindelig kørte jeg det i chroot-fængsel, men det besluttede jeg senere var overkill. At have en selvstændig bruger (eller evt. en selvstændig virtuel maskine, som du har oprettet i VirtualBox eller KVM) er derimod ikke overkill, men elementær sikring mod, hvad NemID og Java kunne finde på at skabe af problemer.

  • 4
  • 0
Lasse Offt

Come on folkens.. separarte browsere, fængsler, sandboxing og dummy brugere! nu må i sgu lige spænde hjelmen! Almen fornugtig brug af en PC der er opdateres og så er der ingen ko på isen! Jeg har kørt Windows 7, MSE og Chrome så lang tid det har været muligt - og har ALDRIG haft en virus, eller det der ligner..

Folk der får virus af den vej, bør ikke benytte en PC, end of fucking discussion!

  • 2
  • 18
Jesper Lund
  • 13
  • 1
Lasse Offt

Bjørn du henviser til én test. MSE er testet som værende langt bedre end Avast, Panda, AVG og hvad der ellers findes af lorte software man kan installere.. og så er det gratis.. og godt.. og diskret... og velintigreret..

  • 2
  • 3
Bjørn Damborg Froberg

Enig, jeg er bestemt ikke fan af Avast, Panda eller AVG.

MSE blev også testet på XP her: http://www.av-test.org/no_cache/en/tests/test-reports/test-reports/?tx_a...

Ydermere har de valgt at deltage et fåtal af gange på VirusBTN, men det nytter ikke at linke dig dertil da man skal betale for at få Deres rapporter.

Mere læsning her:

http://news.techworld.com/security/3277560/microsoft-security-essentials...

I det hele taget kan du jo tage navnet med i din betragtning. Security Essentials, altså det absolut nødvendige. :)

  • 2
  • 1
Keld Simonsen

Det er også et problem med at Nemid kan udspionere dig på din maskine. Der tales meget om hvor få der har haft problemer med indbrud med nemid, bl.a de 8 fra nordeas man-in-the-middle angreb, men der er ikke nogen statistikker om nemids indbrud på folks PC-er.

  • 5
  • 2
Kasper Haabb

...
Folk der får virus af den vej, bør ikke benytte en PC, end of fucking discussion!

Ja, lad os lad os få den almene datamatbruger væk fra datamaterne og fremme udviklingen den vej, i stedet for at lave sikkert programmel... Det er uden tvivl bedst for alle

  • 8
  • 1
Bjørn Damborg Froberg

Martin..

jeg linkede til 2 tests. Den ene Windows 7 som ovenstående bruger benytter, den anden til windows XP testen. Windows 7 testen er lidt ældre, men syntes da det var værd at tage begge med - netop for ikke at være lidt objektiv.

  • 2
  • 0
Anonym

Af artikel og kommentarer, må man konkluderer, at NemID ikke kan anvendes sikkert, ikke engang på en der til specielt indrettet PC.

Enten er man udsat for, at brugerkonti- og eller selve kommunikationen kan kompromitteres, eller også er man udsat for, at det private firma DanID, gennem NemID, henter unødvendige oplysninger ud af brugernes PC.

NemID er altså ikke en sikker identifikations- og / eller loginløsning, hverken "på kobber" eller mobil, hvad er det så ?

  • 5
  • 1
Daniel Gertsen

Hvis pc'en først er inficeret, kan det da være ligemeget om man kun bruger "browser x" til nemid.
Hvis fx jeg vælger kun at bruge Firefox til NemId, og bruger Internet Explorer til alt andet, så kan Firefox da stadig blive inficeret via virus eller andet, der kommer ind via Internet Explorer eller anden vej.

En seperat browser giver ikke andet end mere besvær for brugeren, samt lidt ikke-eksisterende ekstra sikkerhed.

  • 3
  • 1
Jesper Lund

Hvis fx jeg vælger kun at bruge Firefox til NemId, og bruger Internet Explorer til alt andet, så kan Firefox da stadig blive inficeret via virus eller andet, der kommer ind via Internet Explorer eller anden vej.

Korrekt, men pointen er at du kun skal aktivere Java web plugin i den browser som du bruger til NemID (og kun NemID). Så har du i det mindste mindsket risikoen for Java exploits på ikke-NemID sider (fordi din browser til ikke-NemID sider ikke understøtter Java).

  • 3
  • 0
Christian Nobel

Og hvad var det lige der var et af hovedargumenterne for i sin tid at trække det såkaldte NemID ned over hovedet på befolkningen:

Nå jo, befolkningen er så dumme og inkompetente at vi da på ingen måde kan forvente at de selv kan tage vare på deres egen sikkerhed eller deres egen pc, så vi laver en "sikker" løsning.

Og nu er man nødt til at tale om separat browser, sandboxing, og jeg-skal-gi-dig, for ikke at ligge fuldstændig nøgen i feltet.

Hvor var det lige filmen knækkede?

  • 10
  • 1
Per Erik Rønne

Og den ældre hr. Jensen kan åbenbart først føle sig sikker hvis han holder sig til sin iPad, uden Java og Flash.

Forudsat at han kun skal bruge NemID i forbindelse med DDB, og ellers bruger e-Boks applikationen:-).

  • 0
  • 6
Anders Boholdt-Petersen

Jeg har afinstalleret Java via Tilføj / Fjern Programmer, men kan stadig finde gamle rester i form af filer, nøgler i registreringsdatabasen med mere, hvilket godt nok er noget bøvl at få fjernet.

Ikke noget at sige til, at almindelige mennesker som hr. og fru jensen ikke kan gennemskue, hvordan Java afinstalleres!

Derfor kunne en artikel om korrekt afinstallation være ret interessant.

  • 0
  • 2
Jesper Poulsen

Endelig skal man huske at det jo i de fleste situationer vil være banken der hæfter for misbrug

Interessant... Så hvis din indentitet er blevet stjålet, dit hus er solgt, du er blevet skilt (eller gift) og din Folkeregisteradresse er blevet ændret, så hæfter banken?

NemID er ikke kun et login til netbank. Den er hele det digitale Danmark. Alt er hængt op på den og banken dækker kun banksagerne - resten hænger du selv på!

  • 5
  • 0
Log ind eller Opret konto for at kommentere