Få overblikket: Derfor er kritisk Javahul vigtigt

21. januar 2013 kl. 10:257
Et sikkerhedshul i Java har haft betydning for alle de 4 millioner danskere, der bruger NemID. Se begivenhedernes udvikling her.
person
Artiklen er ældre end 30 dage
person

Det hele startede torsdag den 10. januar om eftermiddagen. Version2 havde læst et indlæg hos den anerkendte it-sikkerhedsblogger Brian Krebs, der bekræftede, at it-kriminelle aktivt udnyttede et ikke-lukket sikkerhedshul i Java.

Næste formiddag havde Version2 den brede, danske vinkel klar: Da NemID benytter Java som underliggende teknologi, er alle fire millioner danske NemID-brugere i fare for at havne i kløerne på de it-kriminelle.

Og selvom Version2 i udgangspunktet henvender sig til it-professionelle, var det på sin plads med en artikel, der i nede på jorden-vendinger forklarede, hvordan man midlertidigt deaktiverer Java på sin computer.

Herefter gik det stærkt. Adskillige medier bragte Ritzaus citathistorie af Version2-artiklen, og TV 2 News fandt tid til at interviewe Version2's redaktør om problemet, der - som så meget andet - skyldes de store pengesummer, der nu til dags er i sikkerhedshuller.

Artiklen fortsætter efter annoncen

Allerede om mandagen havde Oracle lappet sikkerhedshullet. Version2 kunne derfor atter guide hr. og fru NemID-bruger igennem opdateringsprocessen.

Op ad formiddagen mandag kunne Version2 dog berette, at danske sikkerhedseksperter trods patchen på Javahullet stadig advarede mod at have Java slået til i browseren

Men historien ville ikke dø. Nu viste det sig, at hullet havde stået åbent siden oktober 2012, og at Oracle allerede dengang var blevet advaret om det.

Og for at føje spot til skade kunne Brian Krebs, sikkerhedsbloggeren der først skrev om Javahullet, nu oplyse, at endnu en 0-dagssårbarhed i Java var sat til salg for den nette sum af 28.000 kroner.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Oven på den store opdaterings-øvelse, som NemID-danskerne havde været tvangsindlagt til, skrev Version2 historien om, at mange især ældre har svært ved holde deres pc'er opdateret, når teksten på hjemmesiderne er skrevet på engelsk. Og det er faktisk et krav, at man holder sin pc opdateret, hvis man bruger NemID

Endelig fulgte Version2 som det eneste medie op på, hvor galt det så var gået. Og selv om der er en vis usikkerhed forbundet med tallet, så tyder meget på, at højst godt 500 danskere havde fået malware som direkte følge at sikkerhedshullet i Java.

Om det relativt lave infektionstal skyldes rettidig omhu i form af intens mediedækning, eller om der var tale om en regulær omgang ulven kommer, står hen i det uvisse.

Fokus
Emner
7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
Thue Kristensen
21. januar 2013 kl. 11:46

Mit indtryk fra Nets' svar på min klage til Datasynet er, at NemID bruger af Java i stedet for ECMAScript primært for at kunne lave ekstra sikkerhed mod IT-kriminelle, som Java's fulde adgang til maskinen giver (gif-filer, etc).

Endelig fulgte Version2 som det eneste medie op på, hvor galt det så var gået. Og selv om der er en vis usikkerhed forbundet med tallet, så tyder meget på, at højst godt 500 danskere havde fået malware som direkte følge at sikkerhedshullet i Java.

Nu er så spørgsmålet, om skaden ved (højst) 500 kompromitterede PCer er mere eller mindre end den skade som NemID's ekstra sikkerhed via Java forhindrer. Plus selvfølgelig alle dem som er kompromitterede via andre Java-sikkerhedshuller, plus dem som ikke opdaterer deres Java for det nuværende sikkerhedshul. Jeg tvivler stærkt på det.

Plus at det selvfølgelig er umuligt for NemID at have effektiv beskyttelse hvis PCen allerede er overtaget, som illustreret af Ken Thompson's Reflections on Trusting Trust. Det stopper kun de dumme IT-kriminelle.

  • more_vert
    • insert_linkKopier link
6
Patrick Mylund Nielsen
22. januar 2013 kl. 07:50

som NemID's ekstra sikkerhed via Java forhindrer

Er ikke overbevist om, at det kan forhindre noget, der faktisk er målrettet mod NemID, da det kører som samme bruger--og selv hvis det ikke gjorde det er det ofte trivielt at eskalere sine rettigheder når du først kan eksekvere kode.

Plus at det selvfølgelig er umuligt for NemID at have effektiv beskyttelse hvis PCen allerede er overtaget

Med mindre der er mere end én terminal involveret i hele processen (login, overførsel/visning af beløb/modtager, osv, bekræftelse, osv.), og brugeren ikke kan installere/køre sine egne programmer på den sikre terminal... Det er selvfølgelig ikke tilfældet nu.

som illustreret af Ken Thompson's Reflections on Trusting Trust.

Eller også illustrerer den at du ikke kan stole på noget software eller hardware, open-source eller closed-source, NemID inklusive :-)

  • more_vert
    • insert_linkKopier link
7
Kristian Jensen
31. januar 2013 kl. 14:51

Eller også illustrerer den at du ikke kan stole på noget software eller hardware, open-source eller closed-source, NemID inklusive :-)

100% tillid kan formentlig ikke opnås, men grader af sikkerhed kan godt forsvares. åbne standarder ville give mulighed for at vælge en leverandør jeg stoler på. Spørgsmålet er ikke så meget om NemID skulle være implementeret i java eller ecma-scrip eller om DanId skulle have implementet deres løsning under en FLOSS licens i stedet en proprietær løsning. Det handler om at skabe et acceptabelts niveau af sikkerhed. Hvis DanId havde implementeret en standard PKI løsning ville vi som borgere kunne opnå et vist niveau af sikkerhed, men med en closed source applet til et system med single point of failure over en ukendt SSO protokol, har vi reelt ingen sikkerhed overhovedet.

Update Det er selvfølgelig ikke helt korrekt. Hvis er man kører NemID i en virtualbox sikre man sig imod at staten/PET/... kan se hvad der ligger på ens reelle harddisk, og ved at bruge icedteas java plugin under linux/BDS er der en vis sandsynlighed for at man ikke rammes af det malware som er rettet specifik mod Oracles java. Men lige gyldigt hvor meget eller lidt man foretager sig lokalt vil vi aldrig kunne stille noget op når DanID bliver hacket og alle vores identiteter flyder ukontrolleret rundt i cyberspace :-)

  • more_vert
    • insert_linkKopier link
5
Dennis Krøger
21. januar 2013 kl. 12:45

Du glemmer "hvor mange af de 500 ville alligevel have haft Java browser plugin'et installeret hvis ikke NemID krævede det".

Udover at det er tåbeligt at NemID er afhængigt af Java's browser plugin, synes jeg at det er en kæmpe fejl af Oracle, at Java browser plugin'et ikke er en separat installation. De fleste har ikke brug for det, og det er oftest det der der sætter Java i et dårligt lys.

Det kræver selvfølgelig at de indser at de fleste er ligeglad med applets, og at JavaFX alligevel ikke kommer nogle veje.

  • more_vert
    • insert_linkKopier link
1
Martin Regner Larsen
21. januar 2013 kl. 10:39

Er der bare mig eller har de inline "Læs også"-links taget overhånd i denne artikel. Der er virkeligt forstyrrende når man forsøger at læse indholdet.

  • more_vert
    • insert_linkKopier link
2
Morten K. Thomsen
21. januar 2013 kl. 10:41

Hej Martin Du misser pointen. Artiklen er netop ment som et overblik over Version2's dækning af sagen - inklusive links til de bragte artikler.

Vh Morten, Version2.

  • more_vert
    • insert_linkKopier link
3
Martin Regner Larsen
21. januar 2013 kl. 10:43

Nå.. Det er en genudsendelse. :-)

  • more_vert
    • insert_linkKopier link