3 av 4 har ikke oppdatert Java

Nasjonale sikkerhetsmyndigheter er overrasket.

Lappesaker til kjente kritiske hull i Java kom for flere uker siden. Men fortsatt sitter svært mange med sårbare versjoner, ifølge tall fra Mnemonic.
Lappesaker til kjente kritiske hull i Java kom for flere uker siden. Men fortsatt sitter svært mange med sårbare versjoner, ifølge tall fra Mnemonic.

Nasjonale sikkerhetsmyndigheter er overrasket.

Java har lenge tronet øverst på en lite hyggelig liste: Den over sårbar programvare som oftest utnyttes av ondsinnede til å kapre datamaskiner.

Men mange uker etter avsløringene om nye kritiske Java-hull, som for lengst er implementert i kjente angrepsverktøy – og gjenstand for aktive hackerangrep også her til lands – har fortsatt svært mange ikke sikret seg.

78 prosent er sårbare

Ifølge tall fra IT-sikkerhetsselskapet Mnemonic, som oppgir å være størst i Norden innen sitt fagfelt, har bare 22 prosent installert den nyeste sikkerhetsoppdateringen for Java.

- Vi fant at 78 prosent av alle Java-applikasjoner i løpet av en uke, ble kjørt med en sårbar Java-versjon, opplyser markedssjef Mike Wawro i Mnemonic til digi.no.

Det er all grunn til å være bekymret for sårbare versjoner av Java. - Jeg tror disse tallene kan overføres til den generelle befolkningen, sa seksjonssjef Marie Moe ved NorCERTs operasjonssenter til Dagbladet onsdag.

Overrasket: Marie Moe ved Nasjonalt senter for håndtering av alvorlige dataangrep (NorCERT).
Overrasket: Marie Moe ved Nasjonalt senter for håndtering av alvorlige dataangrep (NorCERT). Bilde: NorCERT

Analysen til Mnemonic bygger på overvåkning direkte i kundenes nettverk, gjennom et såkalt Intrusion Detection and Protection System (IDS/IPS) som de håndterer på vegne av kundene.

Selskapet har sett på unike klienter hos bedriftskundene. Størrelsen på utvalget var rundt 53.000 unike IP-adresser, som ifølge Wawro er et lite uttrekk av det totale antallet klienter i nettverkene de forvalter globalt.

- Ikke gjort i en fei

Marie Moe hos NorCERT er overrasket over at såvidt få har oppgradert til nyeste versjon Java.

- Ja, jeg synes det var litt overraskende at det tar så lang tid å oppgradere systemene. Men hos bedrifter tar det ofte litt lengre tid å rulle ut sikkerhetsoppdateringer. Det er ikke gjort i en fei, slik det er blant hjemmebrukere, sier seksjonssjefen til digi.no.

Hun tror ikke det skyldes dårlig vilje, men peker på at det å oppgradere programvaren kan være en stor prosess i virksomheter med veldig mange klienter. Særlig for virksomhetskritiske applikasjoner vil Java-oppdateringer kanskje måtte testes i et labmiljø før den tas i bruk.

Det tok en stund før Oracle kom på banen - Treg patche-syklus
- I hvilken grad synes dere i NorCERT at leverandøren, Oracle, har gjort nok for å sikre kunder mot sårbarhetene i Java?

- Oracle gir ikke ut sikkerhetsoppdateringer særlig ofte, den neste planlagte oppdateringen var ikke før i oktober. Så det var bra at de ga ut en fiks nå utenfor ordinær patche-syklus, men det var likevel en uke hvor brukerne ble utsatt for risiko ved å bruke Java.

Det som er viktig når det kommer en zero-day (nulldagssårbarhet) er at leverandøren gir rask og tydelig informasjon til brukerne. Det tok en stund før Oracle kom på banen med informasjon i dette tilfellet, sier Moe.

Hun medgir også at det kan være tungvint å oppgradere Java.

- Det er ikke så lett for enhver bruker å gjøre dette selv. Det krever aktive valg og skjer ikke bare automatisk som med en del annen programvare.

- Det må være opp til brukeren å vurdere om det er kritisk å ha Java installert eller ikke, sier Moe.

For de som er avhengig av Java har Moe flere råd. De kan benytte seg av en nettleser med Java-støtten aktivert, som bare benyttes i de tilfeller der man har behov for Java, og en annen nettleser for alt annet.

Det andre som kan vært lurt er å benytte seg av nettlesertillegg som blokkerer skript fra å kjøre automatisk i nettleseren.

Oracle i Norge har ikke ønsket å kommentere denne saken.

    Les også:

Til toppen