Artikel top billede

Læren af Java-hullet: Vi har brug for central styring

Computerworld mener: Sikkerhedshullet i Java afslørede samtidig det egentlige hul i den danske web-sikkerhed.

Læs også:
Kæmpe nul-dags-hul fundet i Java - din netbank i fare

Myndighed: Danskerne skal deaktivere Java nu

Nets trods kæmpe Java-hul: Brug NemID som normalt

Computerworld mener: Der mangler en sikkerheds-kalif i Danmark.

Sådan én, der kan banke i bordet og afgøre, hvad der er rigtigt og forkert. Én andre lytter til og retter sig efter. Altid.

Det er i hvert fald, hvad man kan ønske sig denne mandag, efter at et kæmpe 0-dags-hul i Java i fredags fik alle advarselslamper til at blinke.

Sikkerhedshullet i Javas JRE er opsigtvækkende af flere grunde.

Dels er Java at finde på milliarder af maskiner verden over, dels bruges Java til mange forskellige typer af applikationer - ikke mindst til NemID her i Danmark.

Derfor søger mange naturligvis et godt råd, når nu alarmklokkerne ringer.

Skal man deaktivere Java, eller er hullet ikke så kritisk, at det er nødvendigt?

I fredags fik man mange ord fra mange kloge folk. Men man blev ikke nødvendigvis meget klogere.

Sådan lød anbefalingerne

Sikkerhedsfirmaet CSIS Security Group kunne oplyse om et omfattende misbrug fra flere dedikerede og organiserede bander:

"... der systematisk anvender det friske hul til at plante ransomware, netbank- og informationstyve samt avancerede rootkits og downloadere, der kan installere falske sikkerhedssprodukter og anden uønsket software."

Det officielle danske sikkerhedscenter i Danmark, DK-CERT, gik direkte ud med en advarsel mod at bruge browsere med Java 7 aktiveret.

"I august så vi et lignende sikkerhedshul i Java, og vores anbefaling er denne gang, at borgerne skal deaktivere browserens Java-plugin," lød det fra DK-CERT.

Chef-sikkerhedskonsulent Thomas Wong fra Fortconsult anbefalede også, at offentlige myndigheder og virksomheder burde slå Java fra med det samme.

Samtidig erkendte han dog, at det kan være lettere sagt end gjort:

"Har de slået det fra? Det tvivler jeg på. De kan have interne systemer, som kræver Java-understøttelse, og spørgsmålet er, hvor meget de kunne arbejde uden Java," sagde han.

Nets: Kør bare videre
Og så kom leverandøren af NemID, Nets, på banen, og her lød anbefalingen pludselig:

"Vi anbefaler, at folk benytter Java, som de plejer."

For selvom Nets skam var bekendt med Java-hullet og havde læst sikkerhedseksperternes anbefalinger, var it-leverandøreren af en anden opfattelse:

"Vi mener dog ikke, at der er nogen grund til at gøre noget specielt som eksempelvis at afinstallere Java eller gøre andet på nuværende tidspunkt."

"Vi hører også, at man bør deaktivere Java eller benytte særskilte browsere, men det mener vi ikke er nødvendigt på nuværende tidspunkt."

Nu bliver forvirringen da total

Hvis der skulle sidde nogen derude bag computerskærmene med en mistanke om, at Nets som NemID-leverandør forsøgte at nedtone Java-dramatikken, så var der skam også andre, der ikke mente, at man skulle slå Java fra.

"Man skal udvise påpasselighed og installere opdateringer, når de kommer," lød udmeldingen fra GovCERT, som hører under Forsvarets Efterretningstjeneste og koncentrerer sig om cyber-angreb rettet mod myndigheder.

Kiggede man mod udlandet, blev forvirringen total, for blandt andre det svenske CERT og US Homeland Security mente nemlig, at man skulle slå Java fra.

Anbefalingerne var mange, og de gik ikke i samme retning.

Det mest konkrete er næsten kommet fra Oracle selv, der rangerer sikkerhedshullerne med en score på 10 på CVSS Base Score (Common Vulnerability Scoring System), hvor skalaen går fra 0 til 10 med 10 som det højeste. 

Hvem kan vurdere sikkerhedstrusler?
Thomas Kristmar fra GovCert kom i fredags med denne udmelding:

"Hvis man eksempelvis har et forretningsmæssigt behov for at bruge Java, så er det jo dem, der har forretningen, som skal finde ud af, hvilke forretningsmæssige konsekvenser det vil have for dem at imødegå det," sagde han.

Det er en fornuftig tilgang til sikkerhedsspørgsmål. For myndigheder og virksomheder, der ved, hvad de har med at gøre og kan foretage en risikovurdering.

Langt værre er det med de almindelige net-brugere, der ikke har den fornødne indsigt eller viden og derfor må forholde sig til de officielle udmeldinger.

For hvad var det nu lige præcis, anbefalingen var? Skulle man slå Java fra eller ej?

Her står vi i dag

Selvom Oracle i første omgang var noget tavs omkring sikkerhedshullet, kom selskabet allerede søndag med to rettelser, der kan lappe hullet i firmaets Java-platform.

Dermed har vi en løsning på det aktuelle problem.

Hvad vi dermed mangler, er et svar på, hvem man skal lytte til, næste gang et kritisk hul i Java eller andre teknologier, afsløres.

Måske er det bare utopi at tro, at det kan lade sig gøre? Måske er sikkerhed for kompliceret et spørgsmål til, at nogen kan levere enkle svar?

Hvis det er tilfældet, hvem vælger du så at lytte til, næste gang, der er problemer med sikkerheden?

Mens du tygger på det spørgsmål, kan du hente rettelserne til Java-hullet her.

Læs også:

Kæmpe nul-dags-hul fundet i Java - din netbank i fare

Nu lapper Oracle endelig kritisk Java-hul




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI i praksis: Fokus på teknologi og best practice

Tag med os på en rejse ind i AI’s verden, hvor vi udforsker anvendelsesmulighederne og belyser, hvordan AI kan gøre en positiv forskel. Vi kigger nærmere på de teknologier og platforme, som det kan give mening for din virksomhed at satse på, og eksperterne giver dig gode råd til, hvordan man kan arbejde innovativt og agilt med kunstig intelligens-løsninger.

19. august 2021 | Læs mere


MS Power Platform - hvad kan det for dig?

Med Microsoft Power Platform kan virksomhederne både visualisere og dele deres data helt uden kendskab til at kunne kode og digitalisere arbejdsgange. Hør hvordan en række danske virksomheder anvender platformen i store dele af virksomheden – og med succes.

24. august 2021 | Læs mere


Opgøret med legacy-systemer: Få styr på mulighederne, planen og businesscasen

I en verden hvor alt forandres konstant, og hvor kravene til virksomhedernes digitale formåen vokser, er der stadig mange organisationer og virksomheder, der bliver hæmmet af deres legacy-systemer. Det kan være en lang og hård rejse at afskaffe disse systemer, men på sigt kan virksomhederne høste frugt af deres arbejde.

25. august 2021 | Læs mere






Premium
Derfor afviser GK at betale løsesum efter stort ransomware-angreb: Dansk afdeling med 400 ansatte også berørt af hackerangreb
I forrige weekend blev den nordiske entreprenørvirksomhed GK ramt af et stort ransomware-angreb, der har berørt selskabets interne systemer og lækket personlige oplysninger. Men GK afviser på det kraftigste, at ville indlede forhandling med hackerne om frigivelse af data. "Vi anser angrebet for at være en kriminel handling og har anmeldt forholdet til politiet," oplyser GK til Computerworld.
Computerworld
Gigantisk kollektivt nedbrud rammer flere internationale hjemmesider
Igen var flere internationale hjemmesider ude af drift. En fejl ramte over 50 af de største internationale websites tordag aften. Se alle detaljer on nedbruddet her.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Salesforce er blevet populær hos IT-kriminelle – luk sikkerhedshullerne før det går galt
Mange bygger en stor del af deres IT-strategi på Salesforce, men glemmer at sikre cloudplatformen. Læs her, hvordan du forebygger ødelæggende angreb og kritiske datatab.