Java-svada

KOMMENTAR: Farlige misforståelser og desinformasjon.

Banknæringen i Norge påstår at Java er sikkert nok. Dem om det.

Vår nasjonale kringkaster følger opp: «Hvis bare folk passer på å oppdatere Java, så kan de holde seg trygg», sa professor i informasjonssikkerhet Audun Jøsang ifølge NRK.no.

Men sa han virkelig det?

Begge deler er jo beviselig feil. Det er desinformasjon. Og det er farlig at slike misforståelser spres til store deler av det norske folk.

For å ta de angivelige uttalelsene til Jøsang først: De er riv ruskende gale. Jeg ringte ham og spurte om han var feilsitert. Det var han.

- Det høres banalt ut. De (NRK) ville lage sensjoner. Man kan ikke føle seg trygg kun ved å oppdatere Java. Man kan nesten aldri føle seg trygg. Men hvis man ønsker å bruke Java må man sørge for at programvaren er oppdatert, sier professoren ved Universitetet i Oslo til digi.no.

Ifølge NRK trodde han heller ikke at problemet med sårbar Java ville vært løst hvis bankene hadde valgt en annen løsning. Også dette sitatet er feil, mener Jøsung.

- Jeg vil trekke det tilbake. Hvis bankene hadde valgt en annen løsning ville ikke dette vært et problem, sier han til digi.no.

Sannheten er at Java på klientmaskiner er en favoritt blant nettkriminelle, som lenge har kunnet boltre seg i mengder av kjente og ukjente sårbarheter i programvaren.

Sårbarhetene som er blitt offentlig kjent den siste uken føyer seg bare inn i en lang rekke tilfeller, som raskt lar seg utnytte med angrepsverktøy som BlackHole. Dette er en sofistikert skytjeneste, utviklet av og for kriminelle, med et rikt sett av funksjoner for å kapre datamaskiner via infiserte nettsider eller epost. Det er kjent at disse angrepene kan skreddersys nettopp mot nettbanker.

Mindre enn ett døgn gikk fra nulldagssårbarhetene i Java ble oppdaget i forrige uke, til de ble inkludert som angrepsvektorer i BlackHole, ifølge det israelske IT-sikkerhetsselskapet Seculert.

På samme tid ble annonsesystemet til Teknisk Ukeblad hacket. Leserne til den norske nettavisen ble i en kortere periode eksponert for en banktrojaner, som - gjetter du det? - benyttet Java-sårbarheten for å la seg installere i det stille.

Det er akkurat slik BlackHole fungerer, ved hjelp av såkalte «drive-by download»-teknikker.

Merk at du ikke behøver å klikke på en infisert annonse. Det er tilstrekkelig å ha sårbar programvare.

Smekk til Oracle

Og med historikken til Java de siste årene, og ikke minst leverandøren Oracle sin slappe holdning til å utgi feilfikser (de visste om de siste hullene i minst fem måneder), så er det tvilsomt at vi har sett Java-hull for siste gang.

Den helt nyeste versjonen Java inneholder jo fortsatt flere dusin alvorlig sårbarheter.

– Det er Oracle som eier Java og som har vært slepphendte i dette tilfellet. Brukere føler seg nå kanskje urettferdig oppfordret til å holde seg oppdatert. Det er egentlig Oracle som fortjener en smekk over fingrene for ikke å ha oppdatert Java, sier professor Jøsang til digi.no.

Men hva skal vi egentlig med Java installert på datamaskinene våre, og kjørende i nettleseren? Dette er jo teknologi som hører hjemme på serverssiden. Våkn opp!

For folk flest er det bare BankID som krever Java. Som om dette behovet ikke var tvilsomt nok i utgangspunktet, så er det i alle fall urovekkende at BankID lar kundene benytte utdaterte og dermed enda mer sårbare gamle Java-versjoner.

Hvem tar ansvaret?

BankIDs kommunikasjonssjef lover at «kundene skal få alle tap dekket av banken sin, uansett hva slags Java-versjon de har installert».

Virkelig? Jeg mistenker at de utelukkende sikter til svindel direkte relatert til nettbankbruk. Men kunder som stoler på BankID og installerer Java risikerer langt mer.

Hvem tar ansvaret for de som måtte få livene sine ødelagt av ID-tyveri, tap av personlig eiendom og all annen skade de risikerer når kriminelle har full kontroll på datamaskinen din?

BankID-løsningen for sikker pålogging i nettbanken var «det beste valget», dessuten vil en overgang fra Java til andre alternativer være «et stort løft», sa Steinsland. Hun fortalte også at Java-plattformen ble valgt «fordi slik nådde de flest brukere».

Til det kan man si at slik tenker også kriminelle. De er ikke dummere enn at de ønsker størst mulig utbytte av sine handlinger.

Er du en Java-junkie?

I så fall er du ikke alene. IT-sikkerhetsselskapet F-Secure kan opplyse at bare 12 prosent ikke har Java Runtime Enviroment installert på maskinene sine. Det er riktignok basert på en uformell spørreundersøkelse, men kan tjene som en pekepinn om at plattformen er svært utbredt også blant sikkerhetsinteresserte.

For denne kategorien av, la oss kalle det profesjonelle brukere, er det også nødvendig å ha et bevisst forhold til Java-truslene.

Du kan deaktivere Java-støtten på flere ulike måter. Kanskje er det mest hensiktsmessig å benytte et nettlesertillegg til denne oppgaven. Eller du kan bruke to forskjellige nettlesere; En av dem øremerket Java-bruk og som aldri ellers benyttes.

Andre alternativer

BankID fungerer på mobilen uten Java, men foreløpig for et begrenset utvalg banker og teleoperatører. Så det går altså an.

Flere norske nettbanker lar dessuten kundene logge seg inn med ordinære krypterte webforbindelser og to-faktor autentisering. Disse bankene har akkurat den samme garantien med å dekke tap, men altså uten å kreve at kundene installerer en vidåpen dør på datamaskinene sine.

Kanskje på tide å bytte bank? Kostnaden ved å la være kan være høy.

    Les også:

Til toppen