Artikel top billede

(Foto: Fotograf Torben Klint torben@klintfoto.dk 40 32 35 36 www.klintfoto.dk /)

Java-problem: Disse spørgsmål vil Oracle Danmark ikke svare på

Interview: Oracle Danmark vil ikke besvare Computerworlds spørgsmål om farlige huller i Java. "Vi har svaret, hvad vi ønsker," siger direktør Kenneth Johansen. Se Computerworlds spørgsmål til Oracle her.

At Oracles Java-platform har været under heftige sikkerhedsbeskydninger i det seneste halve år kan næppe komme bag på mange, der følger med i it-verdenenes op- og nedture.

Først var der stærkt kritiske sikkerhedshuller i Java tilbage i august 2012, og igen i begyndelsen af 2013 blev der meldt om nye, kritiske sårbarheder i den udbredte platform.

Computerworld har i en uges tid forsøgt at få et interview med Oracles danske chef, Kenneth Johansen, om, hvad der egentlig er op og ned i Oracles politik med hensyn til Java-sikkerheden.

I første omgang forlangte Oracle, at Computerworld sendte samtlige spørgsmål på mail med den begrundelse, at Oracle kunne forberede sine svar bedst muligt.

To dage efter, at spørgsmålene blev sendt af sted, modtog Computerworld denne mail fra Oracle-chefen - uden svar på Computerworlds spørgsmål.

Oracle vil gerne forberede sig

Herefter griber Computerworld telefonen og ringer til selskabets danske landechef, Kenneth Johansen, for i stedet at få svarene i telefonen.

"Der er ingen grund til at du stiller flere spørgsmål"

Det lykkedes ikke i første omgang, da en travl mødekalender hos landechefen blokerer for et egentligt interview. 

Mandag formiddag 28. januar er der endelig hul i gennem, og nu kan vi endelig få svar på spørgsmålene. 

Tror vi da.

"Det er lidt et høflighedsvisit, at jeg ringer nu," indleder Oracles landechef Kenneth Johansen samtalen med, hvorefter han henviser til den mail, som Oracle tidligere har sendt til Computerworld med "svar" på vores spørgsmål.

Jamen, I svarer jo ikke på spørgsmålene, så dem kan vi jo tage nu.

"Som jeg tidligere har sagt, så vil vi på dette område (omkring Java-usikkerheder, red.) gerne kommunikere, som vi allerede har gjort. Det vil vi tillade os at fastholde. Vi vil naturligvis gerne tage et interview, hvis det handler om nogle andre områder."

Ok, nu vil jeg så gerne have svar på de spørgsmål, som vi har sendt til jer tidligere. Dem kan jeg jo lige løbe igennem nu.

"Det behøver du ikke. For du får ikke andre svar, end jeg allerede har givet dig."

Ok, men jeg skulle stille spørgsmålene i en mail frem for at konfrontere Oracle i et telefoninterview. Hvorfor det?

"Fordi du ville stille nogle spørgsmål omkring Java-sikkerhed, og vi ville gerne have dem skriftligt, og vi mener, at vi har svaret tilbage, som vi mener, vi skal gøre."

Helt konkret vil jeg også gerne have talt med dig som landechef fra starten. Hvorfor kunne det ikke lade sig gøre?

"Fordi jeg gerne ville forberede mig, og derefter har vi svaret tilbage, som vi gjorde."

Interview interruptus

Den offentlige sikkerhedstjeneste DK Cert har anbefalet, at danskerne kører med to browsere, hvoraf den ene browser har Java deaktiveret og kan bruges til at surfe frit rundt på nettet. Den anden browser skal derimod have Java slået til, og den skal udelukkende bruges på sikre sites som netbanken og Borger.dk, hvor det Java-afhængige NemId skal bruges. 

Er Java virkelig så usikkert, at danskerne fremover skal bøvle med to forskellige browsere og deaktivering af Java?

"Mads, Mads, Mads. Jeg har sagt til dig flere gange, at vi har givet de svar, som vi ønsker på dette område. Så vi bliver nødt til at parkere den her."

Føler Oracle, at selskabet har et særligt ansvar i Danmark, hvor den danske stat netop har valgt Oracles Java-software som fundamentet for det offentliges brug af NemID?

"Tak for spørgsmålene, men jeg har sagt, at vi har svaret. Så der er ingen grund til at, at du stiller mig en masse flere spørgsmål."

Det drejer sig ikke om flere eller nye spørgsmål. Det drejer sig om de gamle spørgsmål, som jeg allerede har mailet til jer.

"Så kommer jeg jo bare til at lægge røret på, og det er der ingen grund til. Så vil jeg hellere bare sige tak for denne gang."

Jamen, så er der jo ingen grund til at fortsætte interviewet.

"Det er korrekt."

Med den afskedsreplik slutter interviewet med Oracles danske landechef om flere sårbarheder i selskabets Java-platform, som måske/måske ikke allerede er blevet lappet, og som hidrører sikkerheden på fire millioner NemID-danskeres computere.

Her er spørgsmålene, som Oracle ikke vil svare på

Computerworld har i forbindelse med at få svar fra Oracle Danmark sendt 11 spørgsmål. 

Disse 11 spørgsmål samt Oracle Danmarks svar kan du se her: 

1) Computerworld har ønsket at få svar på en række spørgsmål omkring de seneste Java-usikkerheder. Oracle forlanger, at Computerworld stiller spørgsmål i en mail frem for at konfrontere Oracle i et telefon-interview. Hvorfor det?

2) Vi ville helt konkret gerne tale med Oracles danske landedirektør Kenneth Johansen for at få svar på disse spørgsmål. Det kunne umiddelbart ikke lade sig gøre. Hvorfor ikke?

3) Den offentlige sikkerhedstjeneste DK Cert har anbefalet, at danskerne kører med to browsere, hvoraf den ene browser har Java deaktiveret og kan bruges til at surfe frit rundt på nettet. Den anden browser skal derimod have Java slået til, og den skal udelukkende bruges på sikre sites som netbanken og Borger.dk, hvor det Java-afhængige NemId skal bruges. Er Java virkelig så usikkert, at danskerne fremover skal bøvle med to forskellige browsere og deaktivering af Java?

4) Føler Oracle, at selskabet har et særligt ansvar i Danmark, hvor den danske stat netop har valgt Oracles Java-software som fundamentet for det offentliges brug af NemID?

5) Hvorfor/hvorfor ikke?

6) I kølvandet på fundet af de nye, kritiske sikkerhedshuller er der kommet en del efterskælv omkring nye sikkerhedshuller, fordi Oracle tilsyneladende ikke har lappet de kritiske sårbarheder ordentligt. På en skala fra 0-10 med 0 som "helt usikkert" og 10 som "helt sikkert", hvor sikkert er det egentlig at bruge Java 7 i dag?

7) Det polske sikkerhedsfirma, der i forbindelse med fundet af store sårbarheder i Java tilbage i august påpegede, at hullerne havde stået åbne i flere måneder, har også denne gang været på banen med kritik af, at Oracle har syltet henvendelser vedrørende de to seneste sikkerhedshuller. Hvorfor har Oracle ikke reageret på sikkerhedsselskabets advarsler tilbage i oktober?

8) Når danskerne opdaterer til Java 7 update 11 får de en Ask.com-toolbar med. Hvorfor har Oracle valgt at tilbyde tredjepartssoftware i forbindelse med en meget vigtig opdatering, så danskerne kan bruge deres NemID på en sikker måde?

9) Denne Ask.com-toolbar er på forhånd klikket af i installationsprocessen, så uopmærksomme borgere intetanende installerer en toolbar for en søgemaskine i deres browsere. Hvorfor skal man aktivt fravælge denne søgemaskine-toolbar fremfor bare at vælge den til, når man opdaterer sin usikre Java til update 11?

10) Hvad har Oracle lært af de seneste to kritiske sårbarhedsbølger, der har ramt millioner og atter millioner af Java-brugere i august og nu senest her i januar?

11) Hvad gør Oracle for at dæmme op for eventuelle sikkerhedshuller i fremtiden?

Her er Oracles danske direktørs mail-svar på Computerworlds 11 spørgsmål

Her er Oracles svar til Computerworld afsendt fra selskabets landechef torsdag den 24. januar klokken 15:49 som reaktion på Computerworlds 11 konkrete spørgsmål.

"Oracle har et omfattende sikkerhedsprogram, hvor vi fokuserer på at bygge sikkerhed ind i produkterne.

Dette program inkluderer Oracle Secure Coding Standards, obligatorisk sikkerhedstræning for udviklerne, anvendelse af automatiserede værktøjer til brug for analyse og test - og ikke mindst et løbende arbejde for at vedligeholde en kultur, der tænker i sikkerhed. Det er vores målsætning, at Oracles produkter er så sikre som overhovedet muligt - og det gælder også for Java.

Det er ikke min rolle at kommentere DK CERT's anbefalinger. Men jeg kan sige, at Oracle har et tæt samarbejde med sikkerhedscommunitiet - herunder de nationale sikkerhedsorganisationer.

Hvis du ser historisk på det, så har der altid fundet en arbejdsdeling sted, hvor CERT'erne er dem, der kommunikerer advarsler om sårbarheder og de umiddelbare anbefalinger til at beskytte sig. Vi på vores side fokuserer på at evaluere de rapporterede sårbarheder og udsende opdateringer, der lukker eventuelle huller i sikkerheden.

Vi er opmærksomme på den kritik, der er omkring Java og tager den naturligvis alvorligt.

Med hensyn til dine spørgsmål om Ask-værktøjslinjen, så skulle jeg hilse fra Anders (Oracles kommunikationsdirektør Anders Lund Rendtorff, red.) og sige, at han har adresseret det på Computerworlds website - du er velkommen til at tage citaterne herfra."

Debatten med Ask.com-toolbar kan du følge og deltage i her.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere