Java i nettleseren har blitt en skyteskive. Både i overført betydning og som favoritt blant nettkriminelle som hacker pc-en din.
Sikkerhetsbrister har ridd programvaren som en mare. I snitt er det avdekket nye kritiske hull hver uke det siste året.
** Hvilket ansvar har norske banker, som likevel fortsetter å oppfordrer kundene til å installere programmet? **
I skrivende stund påstår SpareBank1 at sikkerhetsbristen i Java er fjernet. Det står med digre bokstaver på nettsidene deres.
Bare du oppdaterer til siste versjon er du trygg, hevder banken, rett over en plakat der de smykker seg med tittelen «Norgesmester i sikkerhet».
Men nyeste Java 7 update 11, som kom søndag 13. januar, altså for godt over to uker siden, er slett ikke trygg, ifølge ekspertene.
I dagene som fulgte kunne man i tur og orden lese «Nye Java-angrep i vente» og «Oracle gransker nye Java-sårbarheter». Senest for to dager siden ble det klart at nye sikkerhetstiltak i Java virker ikke.
BankID forsikrer stadig at nettbanken er trygg, men det er ikke der skoen trykker.
Bankbransjens mange lag av sikkerhet, som beskytter pengene våre, hjelper fint lite for den enkelte kunde som får pc-en hacket via sårbarheter i Java. Så da blir spørsmålet:
Hvilket ansvar tar BankID for kunder som blir infisert av skadevare, etter å ha lyttet til bankenes klare råd?
Det første svaret lyder slik.
– Vi har ikke sett noen økning i angrepene mot nettbankene, og derfor mener vi at du kan bruke BankID i nettbanken og andre brukersteder som vanlig. Dette er et råd vi har gitt i samråd med bankene, ut fra en helhetsvurdering av det nåværende trusselbildet, sier Nils Inge Brurberg.
Brurberg er produktsjef for BankID. digi.no svarer takk, men påpeker at de ikke har besvart spørsmålet vårt. Så vi gjentar.
– Dette dreier seg ikke om angrep mot nettbank. Vi snakker om risikoen kundene blir utsatt for, ved surfing på andre nettsteder, som en direkte følge av rådene dere gir.
Videre ga vi dem et tenkt eksempel: Ola Bankkunde stoler på BankID og installerer Java. Nyeste versjon til og med.
Uten at vedkommende merker noe, blir pc-en hacket etter å ha surfet på en vilkårlig nettside. La oss si Teknisk Ukeblad, som i fjor sommer opplevde å få annonsesystemet sitt hacket. Leserne ble eksponert for ondsinnet kode som nettopp utnyttet Java-hull.
Nå er Olas pc kontrollert av kriminelle. De kan i prinsippet stjele alt som er lagret på maskinen, bedrive ID-tyveri eller hva det måtte være. Mulighetene for misbruk er endeløse.
– Det er dette som er problemstillingen. Hvilket ansvar føler BankID for å sette kunder i en slik situasjon? Er dere moralsk ansvarlige? Vil dere yte bistand eller erstatning?
Nå svarer BankIDs produktsjef Nils Inge Brurberg og kommunikasjonssjef Hege Steinsland i tospann. Vel, egentlig er det Steinsland vi har kommunisert med hele tiden, men hun forteller oss hvem vi kan sitere.
– Er vi ansvarlige for at kunder blir infisert av skadevare?
– Vi har gitt et råd ut fra trusselbildet slik vi ser det. Å være på nett er ikke risikofritt, og kundenes pc vil alltid være et angrepsmål for kriminelle som utnytter ulike sårbarheter i nettlesere og i programmer. Bildet endrer seg, men ofte figurerer Adobe Flash, Internet explorer, Adobe reader og Chrome i ulike versjoner på disse listene. En god kilde til sårbarheter som utnyttes er her.
– Vårt råd er at man bør ha siste versjon av programmene installert på pc-en, også Java, i tillegg til et antivirusprogram. Det er vårt ansvar å ha en løsning som hele tiden er tilstrekkelig sikker, og det innebærer å følge trusselbildet nøye, og igangsette tiltak eller gi nye råd når det er nødvendig.
Les også:
- [26.02.2013] Advarer om nye Java-problemer
- [20.02.2013] Fjerner fem sårbarheter fra Java
- [04.02.2013] Oracle fjerner 50 Java-sårbarheter
- [30.01.2013] Oracle forsvarer «møkkavare»
- [30.01.2013] BankID vil kjøre sitt eget løp
- [29.01.2013] Danmarks «BankID» skroter Java
- [29.01.2013] – Sikkerhetstiltak i Java virker ikke
- [24.01.2013] Ignorerte Java-råd
- [21.01.2013] Oracle gransker nye Java-sårbarheter
- [17.01.2013] Nye Java-angrep i vente
- [17.01.2013] Ser etter alternativ til Java
- [04.09.2012] – Java er sikkert nok
