Eksperter om bølge af Java-huller: Oracle tog ikke sikkerheden alvorligt nok
Engang var Java-diskussioner mest for udviklere og andre it-professionelle. I dag er det næsten blevet et samtaleemne over spisebordet hos den brede befolkning, som via medierne er blevet kraftigt opfordret til kun at bruge Java til NemID i en særskilt browser.
Java Runtime, som er nødvendig for at bruge NemID, har nemlig været ramt af en hel stribe alvorlige sikkerhedshuller, og installation af en ny version af Java - og Oracles forsøg på at presse Ask.com-søgefelter ind på brugerens computer - er blevet hverdag.
Desværre er der ikke tegn på, at situationen bliver bedre lige foreløbigt, lyder det fra en række sikkerhedseksperter, som amerikanske Infoworld.com har talt med.
Lige nu er det simpelthen for nemt for hackere at finde sikkerhedshuller i Java, og der er brug for en omfattende forstærkning af teknologien - hvilket ikke er så nemt, fordi Java som udgangspunkt har mange rettigheder på klienten.
Oracle har dog kun sig selv at takke for problemerne, lyder det fra sikkerhedseksperterne, for det har ikke skortet på advarsler gennem årene. Oracle købte Sun i 2010, og overtog dermed Java, men det gik samtidigt ud over indsatsen for at holde Java sikker, lyder vurderingen.
Der bliver simpelthen sjusket med kodningen, for nogle af hullerne kunne være undgået, hvis de ansatte hos Oracle levede op til deres egne, interne sikkerhedskrav, siger Adam Gowdiak til Infoworld. Han er leder af det polske firma Security Explorations, der har opdaget og rapporteret 36 sikkerhedshuller i Oracles Java det seneste år alene.
Java-huller har for nyligt været brugt i malwaren Miniduke, som inficerede computere hos blandt andet Facebook, Twitter, Microsoft og Apple. Og det er nemt for hackere at misbruge selv kendte huller, viser en analyse fra antivirusfirmaet Kaspersky.
I løbet af 2012 var én ud af tre computere globalt til hver en tid sårbar over for fem kendte Java-angreb, som hackere nemt kunne bruge. På et tidspunkt var det over halvdelen af computermassen, som var åben for angreb.
Oracle har reageret ved at sende flere haste-opdateringer ud - to styks siden nytår, for eksempel - og vil også skrue op for frekvensen af faste opdateringer: Fra hver fjerde måned til hver anden måned.
Men det tager tid at ændre en sikkerhedskultur, siger sikkerhedseksperterne og peger på Adobe og Microsoft som eksempler. Og Oracles håndtering af sikkerhedsproblemet har hidtil ikke været lovende, men faktisk direkte arrogant, lyder dommen.
Danmark er i en særlig situation, fordi NemID kræver Java, og borgerne derfor ikke kan følge det generelle råd at afinstallere Java. I stedet lyder rådet at have en browser på computeren, som kun bliver brugt til Java og NemID, og så afinstallere Java fra den browser, der bliver brugt normalt.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
