It-kriminelle kaster sig over NemID-teknologien Java

Det er et godt råd at fjerne Java, hvis man ikke bruger det, men udbredelsen af NemID betyder, at danskerne bliver afhængige af en platform, som de kriminelle på det seneste har fået smag for.

It-kriminelle er begyndt at udnytte gamle og velkendte sikkerhedshuller i Java Runtime Environment, JRE, til at forsøge at sprede ondsindede programmer.

Det er problematisk, fordi JRE er en forudsætning for at kunne bruge det nye danske fælles login til netbanker og offentlige tjenester, NemID.

Microsoft har for nylig tilføjet sporing af angrebsforsøg via JRE til selskabets sikkerhedssoftware, og siden da har selskabet registreret en kraftig stigning i antallet af forsøg på at udnytte sårbarheder i JRE. Det skriver it-sikkerhedsbloggeren Brian Krebs.

Stigningen skyldes, at flere af de værktøjer, som de it-kriminelle bruger til deres angreb, nu indeholder flere såkaldte exploits, som udnytter sårbarheder i JRE.

»Java er udbredt, og det gør det interessant for dem, der laver kommercielle exploit kits. Det giver en masse beskydning,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS.

Med et exploit kit kan en kriminel med relativt få it-færdigheder sammensætte et angreb med automatisk genereret kode, som kan indsættes på et sårbart websted, hvorefter koden forsøger at udnytte en lang række almindelige sårbarheder til at installere ondsindede programmer hos webstedets brugere.

Java var én af de første teknologier til at lave webbaserede applikationer, men i dag er det forholdsvis få websteder, som anvender teknologien. I stedet blev den rolle overtaget af for eksempelvis Flash, som er udbredt til næsten alle internetbrugere.

De fleste danske netbanker og nu også NemID er imidlertid baseret på Java. Oracle, som i dag ejer Java-teknologien, udsender jævnligt opdateringer, og de nyere versioner af JRE vil søge efter sikkerhedsopdateringer én gang om måneden.

Men mange brugere har stadig forældede og dermed sårbare versioner af JRE installeret.

»Folk har meget gamle versioner liggende. Det her med automatisk opdatering er relativt nyt. Og selvom man opdaterer til den seneste version, så kan der ligge gamle versioner,« siger teknisk chef Thomas Kristensen fra sikkerhedsfirmaet Secunia.

Det er ikke usædvanligt at finde flere tidligere udgaver af JRE installeret på én og samme pc. Det skyldes, at klienten ikke automatisk fjerner alle tidligere udgaver, fordi der kan være applikationer, der kræver en bestemt version.

Men det betyder også, at der ligger versioner, som er sårbare. Der har tidligere været sårbarheder, som gjorde det muligt for en webapplikation at tilgå en bestemt ældre udgave af JRE. Dermed kunne et gammelt sikkerhedshul i en forældet version udnyttes, selvom der var installeret en nyere version af JRE.

Både Thomas Kristensen og Peter Kruse anbefaler, at private brugere fjerner de gamle versioner af JRE og installerer den nyeste.

»Langt de fleste almindelige brugere bør overveje, om de overhovedet bruger Java,« siger Peter Kruse.

I virksomheder kan det være mere vanskeligt, fordi mange interne applikationer ofte også vil anvende JRE. De er ofte lavet til ét bestemt version, og derfor er man nødt til at teste, om alle applikationer fortsat fungerer, inden man laver en oprydning på alle pc'er.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jørgen Esping

>>Langt de fleste almindelige brugere bør overveje, om de overhovedet bruger Java, siger Peter Kruse.<<

Hmm. Jeg tvivler på at almindelige brugere ved nok om det til at kunne handle derefter. Jeg er ikke IT uddannet, og ved det i hvert fald ikke.

>>Både Thomas Kristensen og Peter Kruse anbefaler, at private brugere fjerner de gamle versioner af JRE og installerer den nyeste.<<

Igen: Hmm. For hvordan gør almindelige mennesker det? For os er Java 'et eller andet program som bare ligger på computeren og sørger for at andre programmer kan køre, eller-noget-i-den-retning'. Skal vi af-installere Java inden vi finder nyeste version at downloade på nettet?

Ja ja, jeg ved det godt: Dette er et forum for IT-eksperter som ved alt dette. Men hvis der nu er alvorlige sikkerhedsbrister i NemID, så burde vi IT-ukyndige få nogle (nemme) guidelines fx af selskabet bag NemID i forbindelse med at vi tilslutter os NemID, og videre fremover når vi bruger det. Eller automatiske opdateringer, hvor vi bare skal klikke OK, når vi blir spurgt 'are you sure osv...'

  • 0
  • 0
Henrik Schmidt

Selv hvis man godt ved hvad Java er, og sørger for at holde den opdateret, kan man stadig få problemer. Pt. har jeg det problem, at der lige er kommet en ny Java opdatering ud, som lukker en del sikkerhedshuller, men da jeg kører OS X, så har jeg ingen mulighed for at opdatere før Apple får taget sig sammen til at opdatere softwaren.

Til gengæld foregår det automatisk, når de gør, men Java er ikke ligefrem højt prioriteret hos Apple, så det er ikke til at sige hvornår.

Jeg har slået Java fra indtil videre, og så bliver jeg nødt til at slå det eksplicit til, når jeg skal bruge NemID. Jeg har endnu ikke set en fornuftig grund til, at NemID bruger Java. SSL burde kunne håndtere sikkerheden og mht. log-filer på brugernes computere, så opfatter jeg det som mere vigtigt at sørge for at lukke for mulige angrebsvektorer.

Hvor ville jeg ønske, at NemID skulle retfærdiggøre deres teknologi-valg overfor en uafhængig ekspertgruppe.

  • 0
  • 0
Ole Elkjær Christensen

Jeg kan kun give dig ret. De fleste ved ikke en bønne om hvad en JRE er.
Man kan altid sige at det er en god ide at fjerne java og så kan man også fjerne .net, flash, IE8, firefox og crome. Nå, nu man er igang så hiv bare netstikket ud, så er der en chance for at man ikke bliver hacket ???
Eller måske man skulle gøre ligesom inderne. Lave sit eget OS og software der til, så er der vel ingen der kan hacke det ??? :-)

  • 0
  • 0
Jens Jakob Andersen

Kære Version2.

jeg ville ønske at i producerede mere lødige overskrifter end denne.

Jeg bliver helt i tvivl når jeg læser overskriften, om jeg skal lykønske Oracle med salget af Java til Nemid.

Det nærmer sig edBT overskrifter i jagten på kioskbaskeren at lave sådanne sammenkoblinger.

Med venlige hilsner
Jens Jakob

  • 0
  • 0
Rune Broberg

Ja, jeg vil med det samme tilslutte mig en mere lødig omgang med overskrifter.

I England har man The Daily Express, som gerne har prinsesse Diana-overskrifter om mandagen, efter en kedelig weekend. Det kan altid sælge nogle aviser.

Skal Version2 til at være Danmarks udgave af dette, bare med NemID? ;-)

  • 0
  • 0
Henrik Schmidt

Det er nok et problem der er fælles for de fleste ikke Windows platforme og ja Solaris/Oracles Unbreakable Linux.

Både ja og nej. Hvis man benytter en package manager, skal man naturligvis vente til den opdateres, hvilket typisk sker ret hurtigt, men man har altid muligheden for at hente opdateringen direkte fra Oracle.

Problemet er her, at Oracle ikke vedligeholder JVM'en til Apple. Det gør de selv. Det resulterede i, at Java 6 først kom til OS X et år efter, at den kom ud til Windows og Linux.

  • 0
  • 0
Peter Jespersen

men man har altid muligheden for at hente opdateringen direkte fra Oracle.

En generel betragtning

Ja, x86-32/AMD64 er vel understøttet direkte af SUN/Oracle til Windows, Linux og Solaris og det dækker det meste af skrivebordsmarkedet, men så har vi diverse Armel-håndsæt (Ved ikke helt med Android, juryen voterer stadig om det kan kaldes Java - men de deler nogle af de samme skavanker).

Ved ikke om OpenJDK/OpenJRE er indbefattet af dette (Ved godt at Open grenen ikke har det godt med SlemID, men det er den fremtidige udviklergren, der medleveres mange frie systemer som standard, selv på openSUSE skal man insistere på SUN-grenen).

Og så er vi nok mange der lige har det bedst med at centrale patches lige kommer en tur igennem maskineriet og kommer igennem de officielle repo kanaler - nogle gange er de lidt for hurtige på aftrækkeren hos Oracle/SUN.

Men du har helt ret i at der ikke er nogen rimelig begrundelse for at DanID har valgt Java til deres løsning (Jeg har Jyske Bank og det var lidt at et skal i ansigtet da NemID brevet ankom) og slet ikke en signeret applet.

  • 0
  • 0
Baldur Norddahl

»Langt de fleste almindelige brugere bør overveje, om de overhovedet bruger Java,« siger Peter Kruse.

Hvorfor bør langt de fleste almindelige brugere overveje det? Svaret for langt de fleste almindelige brugere er at de bruger netbank og dermed faktisk bruger java. Det står tilmed i artiklen.

  • 0
  • 0
Niels Wind

<suk> hvor mange problemer har der ikke været / er der ikke med internet explorer? Skal almindeligt brugere så også afinstallere den? Nej, vel? Al sikkerhed skal jo afbalanceres med brugervenlighed - hvis der er meningen nogen skal bruge den.

Bruger i øvrigt både windows, mac og linux - og jo, jeg er glad for java og NemID - det virker nemlig alle de steder. Ville gerne ha' den på Android også.

  • 0
  • 0
Ole Elkjær Christensen

Jeg har faktisk ikke fundet ud af hvilken JRE der er fejl i. Er det kun den fra SUN/Oracle eller er det JRockit, OpenJRE, den til Apple, den på android eller den der er i min blueray afspiller hjemme under fjernsynet (som dog heldigvis ikke er på internettet :-) ). Jeg går ud fra at det ikke er en fejl i specifikationen, men implementerings fejl i forhold til denne.

Med hensyn til overskrifter burde man satse mere bredt. "IT kriminelle går efter PC'er som bruges på internettet.", så har man vel næsten ramt alt og denne overskrift er frit genbrugelig :-)

  • 0
  • 0
Anders Poulsen

Artiklens teaser får det til at lyde som om NemID medfører et sikkerhedsproblem for slutbrugeren. Det er da det værste ævl!
NemID har faktisk intet med dette sikkerhedsproblem at gøre, da det netop IKKE er NemID som gør det umuligt for brugerne at afinstallere de ældre hullede JRE versioner (hvilket i øvrigt kun er relevant for sådan cirka 0% af slutbrugerne).

  • 0
  • 0
Lars Lundin

Artiklens teaser får det til at lyde som om NemID medfører et sikkerhedsproblem for slutbrugeren. Det er da det værste ævl!

Bortset fra at det var NemIDs eget valg at bruge Java, som bortset fra sikkerhedsproblemer også var et dårligt valg ifbm. understøttelse af smartphones.

  • 0
  • 0
Ole Elkjær Christensen

Bortset fra at det var NemIDs eget valg at bruge Java, som bortset fra sikkerhedsproblemer også var et dårligt valg ifbm. understøttelse af smartphones.

Understøttelse til smartphone er java faktisk det bedste valg, da det både kan understøttes på android og windows mobile. Om det understøttes i nogle af de browsere der er på nogen smartphone er en anden sag. Men det gør .net sikkert heller ikke. Måske flash gør, men flash har mindst lige så mange sikkerheds problemer som de andre platforme og er langt fra sikkert.

Java er helt klart det bedste valg, hvis man vil have en kode platform der er tilgængelig på så mange hardware platforme så muligt, hvilket også gælder smartphones så vidt jeg kan se.

  • 0
  • 0
Robert Larsen

Java er helt klart det bedste valg, hvis man vil have en kode platform der er tilgængelig på så mange hardware platforme så muligt, hvilket også gælder smartphones så vidt jeg kan se.

"The iPhone will not support Java applications of any kind. Steve Jobs has been quoted as saying "Java's not worth building in. Nobody uses Java anymore. It's this big heavyweight ball and chain."
- http://www.iphonefaq.org/archives/9731

  • 0
  • 0
Peter Jespersen

Det er absolut bedre - men som sædvanligt her i landet går man kun halvvejs.

På trods af at nogle banker allerede benyttede en brugbar og gennemtestet løsning (Som nu enten allerede har eller skal til at skrotte denne til fordel for en signeret Java applet).

  • 0
  • 0
Ole Elkjær Christensen

"The iPhone will not support Java applications of any kind. Steve Jobs has been quoted as saying "Java's not worth building in. Nobody uses Java anymore. It's this big heavyweight ball and chain."

Det har Steve Jobs selvfølgelig ret i, ligesom han hakker på adroid, windows o.s.v. eller nærmere sagt så siger har i store træk lignene ting om alt andet en Apple produkter, og da Steve Jobs er alvidende har han selvfølgelig ret :-)

  • 0
  • 0
Robert Larsen

Jeg håber ikke, at jeg gav udtryk for, at jeg var enig med Steve Jobs, for det er jeg bestemt ikke. Jeg programmerer Java til dagligt, og trenden ser nu ud til at være, at flere og flere bruger JVM'en...omend ikke med Java, men så med alle mulige andre sprog, som genererer JVM maskinkode.

Min pointe var bare, at Java ikke nødvendigvis er det rigtige valg, hvis man vil ramme flest mulige platforme, for iPhone har valgt ikke at understøtte Java.

  • 0
  • 0
Ole Elkjær Christensen

Godt ord igen :-)

Det er rigtigt at java ikke nødvendigvis er "sproget". JVM'en er som du siger også i sving med andre sprog. Hele VM tankegangen er også det .net baserer sig på, dog på MS .nets egen selvfølgelig.

At Apple har fravalgt JVM(Java), .NET, Flash o.s.v. siger jo mere om Apple end om sprogene/platformene.

Apple får jo mærkværdigvis Microsoft til at se ud som et open source firma, når man ser på hvor proprietært Apple er og hvor lukket den verden er. Meget interessant når man tænker på at MAC OS fra version 10 er en unix, BSD så vidt jeg husker :-)

  • 0
  • 0
Log ind eller Opret konto for at kommentere