NemID-sårbarhed: Skal Java slås fra eller ej? Danskere lades i stikken.

Af Dorte Toft 18

4 millioner danskere har installeret Java i browseren som forudsætning for at bruge NemID til netbanken og som nøglen til de offentlige selvbetjeningssystemer. Nu kan de læse, at der er en sårbarhed i den nyeste version af Java, og at de kriminelle er i gang med at udnytte sårbarheden.

Et problem eller ej for dig? Nej, siger ejeren af NemID, nemlig DanID, der selv er ejet af Nets (tidligere PBS).

Men. En sikkerhedsekspert siger til Ingeniørens Version2, at du bør slå Java fra.

Java er den lille stump kode, der – når du går i netbanken – spiller en central rolle, når du anmodes om brugernavn, kode og NemID-koden fra nøglekortet. Og Java bruges af millioner af andre aktører til rutiner, der udføres via browseren, om på pc’en eller mobilen.

Sikkerhedseksperten siger, at Java i hvert fald skal slås fra, når du bruger computeren til andet, end at gå i netbanken, for andre websites kan allerede være blevet inficeret og dermed smitte din pc (åbne en bagdør for kriminelle).

En anden sikkerhedsekspert, der udtaler sig, er enig. Han siger desuden, at man bør have en browser, som man udelukkende bruger til netbanken, altså ikke noget med at google eller læse nyheder via den browser.

Men hvordan lyder den fulde melding fra NemID? Hold blot din software opdateret og brug ellers din computer, som du plejer.

Well. Sårbarheden er altså i den nyeste version af Java, som ejes af softwaregiganten Oracle (der opkøbte Java-faderen Sun Microsystems).

Hvad siger Oracle i Danmark så? Her er den udsendte pressemeddelelse:

“Oracle is aware of a flaw in Java software integrated with web browsers. The flaw is limited to JDK7. It does not exist in other releases of Java, and does not affect Java applications directly installed and running on servers, desktops, laptops, and other devices. A fix will be available shortly. ” ~ Oracle Statement

Det var alt. Blev du klogere?

Læs hele artiklen hos Version2, og kig også på kommentarerne. Er det en sikkerhedsbranche, der bare råber “Ulven kommer” eller en uansvarlig institution ejet af bankerne?

Hvilket informationsniveau forventer du fra Nets? Hvilket informationsniveau forventer du fra det ministerium, der har ansvar for NemID som nøgle til det offentlige? Hvilket informationsniveau forventer du fra Oracle i Danmark?

OBS: Tilføjet kl. 16.30.
GovCert, der er de offentlige myndigheders sikkerhedsvagthund kræver ikke af sine kunder, at Java slås fra, skriver Computerworld her.

Computerworld bringer i en tidligere artikel om Java-sårbarheden opskriften på at slå Java fra i diverse browsere. Gå ned i bunden af DENNE artikel.

18 kommentarer RSS

  1. Af cay petersen

    -

    Kære Dorthe,

    Efter at have læst din kommentar og anbefaling af, at slå Java fra i browseren, fulgte jeg din artikels vejledning og deaktiverede Java i IE.

    Efterfølgende, loggede jeg mig på min netbank. Til min store overraskelse helt uden problemer.

    Også efter en genstart. Sååååååå….

  2. Af Dorte Toft

    -

    Lige en ting. Jeg kan ikke sige, at man skal slå Java fra, eller ej. Blot forvirret på et højere plan efter at have læst holdningerne, og mon ikke mange har det som mig. Det er derfor, at jeg efterlyser holdninger til, hvordan informationsniveauet bør være. Bør vi have en slags it-mæssig “Statens Seruminstitut”, der jo vitterligt tager stilling?

    Men det lyder ligegodt sært, at der ikke sker en dyt, selv om du har slået Java fra. Nogen, der har en forklaring?

  3. Af Jakob Dahl

    -

    Hvis man hører nøje efter hvad fyren fra nets siger på TV2 News så forholder han sig slet ikke til hullet i Java. Han forholder sig til om der er noget galt med det system han har ansvar for, og han har sådan set ret: Det er nøgagtigt lige så dårligt som det hele tiden har været.
    Hullet ligger i laget under den software nets har lavet og det tager han ikke ansvar for. Han glemmer bare lige at sige hvorfor han ikke lavede en SLA med Oracle da de lavede et system som tvinger Java ned i halsen på alle borgere i Danmark.

    For så vidt et slags ‘seruminstitut’, DK CERT plejer at komme med nogle ret ædruelige anbefalinger (de anbefaler også at slå java fra)
    /Jakob

  4. Af Axel Hammerschmidt

    -

    Vejledningen i at slå Java fra i Internet Exploder i Computer World som du henviser til er forkert. Som Cay Petersen skriver, så bliver Java ikke de-aktiveret.

    Det kommer an på hvilken Windows version, hvilken Java version og sikkert osse hvilken IE version.

    Med Windows Vista eller Windows 7, og seneste Java version 7.10 (den officielle betegnelse) skal man ind i Java kontrolpanelet og under fanebladet Security fjerne det hak der er ud for “Enable Java content in browser”, trykke på Apple og derefter OK. Der kommer nogle dialogvinduer fra UAC som man skal udfylde.

    Jeg har indsat et link i min “Webside” der henviser til Oracle’s vejledning. Man skal bare klikke på mit navn.

  5. Af cay petersen

    -

    Tak til Axel Hammerschmidt for hans indlæg.

    Nu virker det.!

  6. Af Axel Hammerschmidt

    -

    Selv tak Cay.

    Der skulle selvfølgelig stå “Apply” og ikke “Apple”. Men det virkede for dig.

    Nu kan du slå Java fra eller til i din browser efter behov.

  7. Af Axel Hammerschmidt

    -

    Hov!

    Nu har jeg skiftet (fra Vista og IE8) til Windows XP Pro og IE8, og hak ved “Enable Java content in browser” i Java kontrolpanel (javacpl.exe) er fjernet.

    Når jeg er på Oracles hjemmeside og vælger “Do I have Java” og “Verify Java Version” får jeg at vide, at der ikke er Java på computeren.

    Men går jeg på Danske Netbank, ja så kører Nemid logon og jeg kan logge på. Meget mystisk!

    Der er dog kommet en lille sikkerheds advarsel – det er et pop up vindue fra Microsoft/Windows – som oplyser at netbank hjemmesiden vil køre Java.

    Med 64-bit Vista og Java slået fra som tidligere beskrevet virker netbank ikke.

    Kort sagt, det er noget rigtig rod.

  8. Af Peder Pedersen

    -

    Brug Firefox som internetbrowser. Langt bedre og mere sikker end IE (her deaktiveres java let under add-on’s i menuen).

    Hent den hos mozilla.org.

  9. Af Peder Pedersen

    -


    tilføjelse:Firefox blokker endda selv automatisk for ALLE add-ons som de får viden om er kritiske..

    læs her hvad der dukker op i firefox….

    Java Plugin 7 update 10 and lower (click-to-play), Windows has been blocked for your protection….

    envidere skriver de….

    When Mozilla becomes aware of add-ons, plugins, or other third-party software that seriously compromises Firefox security, stability, or performance and meets certain criteria, the software may be blocked from general use.

  10. Af Axel Hammerschmidt

    -

    Jo. Jo. Men hvad med alle de, der ikke læser med her på Bizzen?

  11. Af Dorte Toft

    -

    Med et kommentarspor som dette bliver man glad. Så funker bloggen med læsere, der beriger og hjælper hinanden.

    Hvordan dem, der ikke læser bloggen, orienterer sig? Vi HAR behov for et entydigt melde/informationssystem, som alle kender til. Ikke blot os techinteresserede.

  12. Af Carsten Bo Nielsen

    -

    Tyske BSI (Bundesamt fur Sicherheit in der Informationstechnik), som er en meget troværdig kilde, anbefaler også at slå Java fra. De oplyser videre, at sikkerhedshullet ikke er konstateret i Java version 6. I så fald endnu en gang, hvor version 6 tilsyneladende er bedre end version 7.
    BSI har offentliggjort en vejledning om deaktivering af Java i de forskellige browsere. Se http://www.bsi.bund.de for yderligere information.

  13. Af Dorte Toft

    -

    @Carsten Bo Nielsen. Interessant med den offentlige tyske stillingtagen.

    I øvrigt har Oracle netop udsendt pressemeddelelse om, at der nu er kodet en lap, som udbedrer de to huller i softwaren, der blev udnyttet. Teksten i pressemeddelelsen lyder således:

    “Oracle has released Security Alert CVE-2013-0422 to address the flaw in Java software integrated with web browsers. More information about this Security Alert is available on https://blogs.oracle.com/security/entry/security_alert_for_cve_2013 This is a blog that discusses when the bug was reported and actions that Java users need to take to secure their systems.”

    Alt tyder således på, at du skal til http://java.com og downloade den seneste Java-7 udgave. Men Oracle skriver også, at bruger din pc Windows og har du slået automatisk softwareopdatering til, så skulle du pr. automatik få downloaded den rettede software.

    “Users running Java SE with a browser can download the latest JRE 7 release from http://java.com/. Users on the Windows platform can also use automatic updates to get the latest JRE 7 release.”

  14. Af Frank Torreck

    -

    Forvirringen skyldes flere ting – selv jeg opgav at få Java til at virke i Chrome på en 64 bit Windows 7 PC.

    Første problem: Der findes Java og der findes Java Runtime Engine (JRE) – og det er JRE der er / var problemer med. Det er JRE der bruges i browseren når man bruger NemID. Den fulde Java installation har ikke problemet – men bruges altså heller ikke af NemID.

    Andet problem: Det er ikke dit operativ system der bestemmer hvilken JRE du skal installere – det er din browser. Jeg bruger IE8 og Chrome. IE8 er 64 bit mens Chrome er 32 bit. Jeg skal altså have 2 forskellige versioner af JRE installeret for at NemID virker i både IE8 og Chrome.

    Tredie problem: Det kan være ret besværtligt at finde den eller de rigtige versioner af JRE. Men de kan altid hentes på http://java.com/en/download/manual.jsp – pt JRE 10u11 – som lapper det hul alle taler om pt.

    Håber det skaber mere klarhed end forvirring :)

    /Frank

  15. Af Axel Hammerschmidt

    -

    @Frank

    Ad første problem. Kan det være forklaring på, at med IE8 og Windows XP Pro og Java slået fra i kontrolpanelet, så virker Nemid alligevel?

    Ad andet problem. Jeg har samme oplevelse, at der skal installeres 2 forskellige Java med 64-bit Vista — en til 64-bit IE8 og en anden til 32-bit IE8.

    Ad tredie problem. Jeg har automatisk opgradering slået fra. Så ca en gang om måneden går jeg på Oracles hjemmeside og undersøger om det er den seneste Java version min computer har. Hvis der er en nyere så tilbydes, at den kan opgraderes online. Ved alvorlige sikkerhedshuller læser jeg om det på de forskellige medier, der skriver om IT.

  16. Af » ID-tyveri: En uoverskuelig situation for offeret - Bizzen – IT & Business

    -

    [...] Danskerne blev ladt i stikken. Skulle vi slå Java fra på vores computer, og hvordan gjorde man det? Intet entydigt svar, ingen brugsanvisning. Det bloggede jeg om her [...]

  17. Af Hallo. Tænk ikke kun på Se & Hør, men også på borgerne. | Bizzen - IT & Business

    -

    [...] husker måske også, da der i starten af 2013 blev afsløret en kæmpesikkerhedsbrist i Java, som også er en forudsætning for NemID. Der blev råbt gevalt om Javaproblemet i USA og mange [...]

  18. Af Oracle får danske tæv over Java/Ask.com-kobling | Bizzen - IT & Business

    -

    [...] NemID med Java er i forvejen ikke en ren skovtur for menigmand, og der har tidligere været sikkerhedsproblemer. [...]

Skriv kommentar

Kun fornavn og efternavn bliver vist i forbindelse med kommentaren. Dog skal alle felter med * (stjerne) udfyldes

Læs vilkår for kommentarer og debat på Berlingske Tidendes websites

RETNINGSLINJER

Berlingske ønsker at sikre, at debatten på b.dk føres i en ordentlig tone, som gør det inspirerende og udfordrende for alle at bidrage og deltage. Vi efterlyser gerne klare, skarpe, holdningsmæssige stærke indlæg med stor bredde og mangfoldighed og kritisk blik på sagen. Men vi accepterer ikke indlæg, som er åbenlyst injurierende, racistiske, personligt nedgørende. Sådanne indlæg vil fremover blive slettet. Det samme gælder indlæg, der ikke er forsynet med fuldt og korrekt navn på afsenderen, men som indeholder forkortede navne, opdigtede eller falske navne.

Vi opfordrer samtidig alle debattører til at gøre redaktionen opmærksom på indlæg, som ikke overholder disse retningslinjer.

Redaktionen

Yderligere info