Selvom bankerne og den store offentlige log in-portal – NemLog-In – har skiftet til den nye JavaScript-baserede NemID-løsning, sidder hobevis af danskere stadig tilbage med en Java-installation, der kan udgøre en sikkerhedsrisiko. Derfor bør Digitaliseringsstyrelsen opfordre borgerne til at afinstallere Java igen, lyder det fra flere eksperter.
Kasper Lindgaard, Head of Research hos it-sikkerhedsfirmaet Secunia vurderer, at langt de fleste Java-installationer hos private i Danmark kun har haft som formål at kunne køre NemID – hvilket også har været gældende for hans egen Java-installation.
Og han peger på, at når alle instanser af den Java-baserede NemID, som en person eller virksomhed benytter sig af, er skiftet til den Javascript-baserede NemID, skal man afinstallere Java for derved at lukke for en af de store angrebsvinkler, som hackere benytter sig af.
»Faktum er, der er rigtig mange sårbarheder i Java. Og mange mennesker har haft Java af en eneste årsag. Så det ville helt sikkert klæde dem (Digitaliseringsstyrelsen, red.) at sige, at folk burde afinstallere det. Men hvis de gør det, så er det jo også en indrømmelse af, at Java måske ikke sikkerhedsmæssigt er den bedste løsning.«
Secunia står blandt andet bag produktet Personal Software Inspector, der hjælper brugere med at holde deres programmer opdaterede. Og Kasper Lindgaard fortæller, at der alene i 2014 er registreret 119 sårbarheder i Java.
Og selvom folk måtte have opdateret programmet til seneste udgave, kan det stadig indeholde sårbarheder, som Oracle, der står bag Java, ikke er bekendt med, påpeger han.
»Der er masser af folk derude, der finder sårbarheder, som ikke nødvendigvis rapporterer dem til Oracle, men i stedet vælger at udnytte dem eller sælge dem.«
Når Java er et populært mål for it-kriminelle, hænger det ifølge Kasper Lindgaard blandt andet sammen med, at produktet udgør en ensartet angrebsflade, der kan bruges til at kompromittere klientmaskinen, uanset om Java-installationen kører på det ene eller det andet styresystem.
It-sikkerhedsekspert og partner i CSIS Peter Kruse mener også, at Digitaliseringsstyrelsen burde opfordre danskerne til at fjerne Java igen, nu hvor programmet ikke længere er en forudsætning for at tilgå en lang række digitale tjenester under det offentlige via NemLogin-portalen.
»Jeg kan kun spille bolden videre og sige, at det ville være fint, hvis de (Digitaliseringsstyrelsen, red.) gjorde det. Det ville være et godt træk. Der er noget oprydningsarbejde, der ligger forude, hvor man godt kunne komme ud med nogle råd,« siger han.
Der kan naturligvis også være andre programmer end NemID, eksempelvis spil, der forudsætter Java, forklarer Peter Kruse. Men er borgerne i tvivl om, hvorvidt de faktisk anvender Java til andet end NemID, vil det i udgangspunktet være en god idé at fjerne produktet og så eventuelt installere det igen, hvis det alligevel skulle være nødvendigt.
»Der er ingen grund til at have noget software installeret, som man ikke bruger i det daglige alligevel,« siger Peter Kruse, som desuden understreger, at selvom Java ikke længere er installeret, er det naturligvis vigtigt at holde øvrige tredjepartsprogrammer som Flash opdateret.
Flere steder, blandt andet på den fællesoffentlige login-portal NemLogin, er NemID skiftet til at køre på JavaScript i stedet for Java. Men først fra udgangen af 2014 er det officielt helt slut med NemID på Java.
Borgerne skal dog ikke forvente opfordringer fra Digitaliseringsstyrelsen, når det kommer til at skille sig af med deres Java-installationer.
»Generelt er det ikke Digitaliseringsstyrelsens rolle at oplyse, hvilke programmer brugerne bør installere eller afinstallere,« oplyser kontorchef i Digitaliseringsstyrelsen Cecile Christensen i en mail sendt via styrelsens pressemedarbejder.
Borgere kan dog af egen drift opsøge hjemmesiden nemid.nu for at få hjælp til at fjerne Java.
»I det konkrete tilfælde med Java har vi dog en vejledning på www.nemid.nu, hvor man kan følge en simpel guide til afinstallation af Java. Oracle har udviklet et brugervenligt værktøj til denne proces, som er beskrevet i guiden på www.nemid.nu. Derudover har vi vejledninger til afinstallation af Java til de brugere, der anvender Mac eller Linux,« står der i mailen.
Leave a Reply