Topnyhed:Ingrid Mjøen stopper som dansk landechef i Oracle: Skifter til international toppost

Artikel top billede

Java-problem: Disse spørgsmål vil Oracle Danmark ikke svare på

Interview: Oracle Danmark vil ikke besvare Computerworlds spørgsmål om farlige huller i Java. "Vi har svaret, hvad vi ønsker," siger direktør Kenneth Johansen. Se Computerworlds spørgsmål til Oracle her.

At Oracles Java-platform har været under heftige sikkerhedsbeskydninger i det seneste halve år kan næppe komme bag på mange, der følger med i it-verdenenes op- og nedture.

Først var der stærkt kritiske sikkerhedshuller i Java tilbage i august 2012, og igen i begyndelsen af 2013 blev der meldt om nye, kritiske sårbarheder i den udbredte platform.

Computerworld har i en uges tid forsøgt at få et interview med Oracles danske chef, Kenneth Johansen, om, hvad der egentlig er op og ned i Oracles politik med hensyn til Java-sikkerheden.

I første omgang forlangte Oracle, at Computerworld sendte samtlige spørgsmål på mail med den begrundelse, at Oracle kunne forberede sine svar bedst muligt.

To dage efter, at spørgsmålene blev sendt af sted, modtog Computerworld denne mail fra Oracle-chefen - uden svar på Computerworlds spørgsmål.

Oracle vil gerne forberede sig

Herefter griber Computerworld telefonen og ringer til selskabets danske landechef, Kenneth Johansen, for i stedet at få svarene i telefonen.

"Der er ingen grund til at du stiller flere spørgsmål"

Det lykkedes ikke i første omgang, da en travl mødekalender hos landechefen blokerer for et egentligt interview. 

Mandag formiddag 28. januar er der endelig hul i gennem, og nu kan vi endelig få svar på spørgsmålene. 

Tror vi da.

"Det er lidt et høflighedsvisit, at jeg ringer nu," indleder Oracles landechef Kenneth Johansen samtalen med, hvorefter han henviser til den mail, som Oracle tidligere har sendt til Computerworld med "svar" på vores spørgsmål.

Jamen, I svarer jo ikke på spørgsmålene, så dem kan vi jo tage nu.

"Som jeg tidligere har sagt, så vil vi på dette område (omkring Java-usikkerheder, red.) gerne kommunikere, som vi allerede har gjort. Det vil vi tillade os at fastholde. Vi vil naturligvis gerne tage et interview, hvis det handler om nogle andre områder."

Ok, nu vil jeg så gerne have svar på de spørgsmål, som vi har sendt til jer tidligere. Dem kan jeg jo lige løbe igennem nu.

"Det behøver du ikke. For du får ikke andre svar, end jeg allerede har givet dig."

Ok, men jeg skulle stille spørgsmålene i en mail frem for at konfrontere Oracle i et telefoninterview. Hvorfor det?

"Fordi du ville stille nogle spørgsmål omkring Java-sikkerhed, og vi ville gerne have dem skriftligt, og vi mener, at vi har svaret tilbage, som vi mener, vi skal gøre."

Helt konkret vil jeg også gerne have talt med dig som landechef fra starten. Hvorfor kunne det ikke lade sig gøre?

"Fordi jeg gerne ville forberede mig, og derefter har vi svaret tilbage, som vi gjorde."

Interview interruptus

Den offentlige sikkerhedstjeneste DK Cert har anbefalet, at danskerne kører med to browsere, hvoraf den ene browser har Java deaktiveret og kan bruges til at surfe frit rundt på nettet. Den anden browser skal derimod have Java slået til, og den skal udelukkende bruges på sikre sites som netbanken og Borger.dk, hvor det Java-afhængige NemId skal bruges. 

Er Java virkelig så usikkert, at danskerne fremover skal bøvle med to forskellige browsere og deaktivering af Java?

"Mads, Mads, Mads. Jeg har sagt til dig flere gange, at vi har givet de svar, som vi ønsker på dette område. Så vi bliver nødt til at parkere den her."

Føler Oracle, at selskabet har et særligt ansvar i Danmark, hvor den danske stat netop har valgt Oracles Java-software som fundamentet for det offentliges brug af NemID?

"Tak for spørgsmålene, men jeg har sagt, at vi har svaret. Så der er ingen grund til at, at du stiller mig en masse flere spørgsmål."

Det drejer sig ikke om flere eller nye spørgsmål. Det drejer sig om de gamle spørgsmål, som jeg allerede har mailet til jer.

"Så kommer jeg jo bare til at lægge røret på, og det er der ingen grund til. Så vil jeg hellere bare sige tak for denne gang."

Jamen, så er der jo ingen grund til at fortsætte interviewet.

"Det er korrekt."

Med den afskedsreplik slutter interviewet med Oracles danske landechef om flere sårbarheder i selskabets Java-platform, som måske/måske ikke allerede er blevet lappet, og som hidrører sikkerheden på fire millioner NemID-danskeres computere.

Her er spørgsmålene, som Oracle ikke vil svare på

Computerworld har i forbindelse med at få svar fra Oracle Danmark sendt 11 spørgsmål. 

Disse 11 spørgsmål samt Oracle Danmarks svar kan du se her: 

1) Computerworld har ønsket at få svar på en række spørgsmål omkring de seneste Java-usikkerheder. Oracle forlanger, at Computerworld stiller spørgsmål i en mail frem for at konfrontere Oracle i et telefon-interview. Hvorfor det?

2) Vi ville helt konkret gerne tale med Oracles danske landedirektør Kenneth Johansen for at få svar på disse spørgsmål. Det kunne umiddelbart ikke lade sig gøre. Hvorfor ikke?

3) Den offentlige sikkerhedstjeneste DK Cert har anbefalet, at danskerne kører med to browsere, hvoraf den ene browser har Java deaktiveret og kan bruges til at surfe frit rundt på nettet. Den anden browser skal derimod have Java slået til, og den skal udelukkende bruges på sikre sites som netbanken og Borger.dk, hvor det Java-afhængige NemId skal bruges. Er Java virkelig så usikkert, at danskerne fremover skal bøvle med to forskellige browsere og deaktivering af Java?

4) Føler Oracle, at selskabet har et særligt ansvar i Danmark, hvor den danske stat netop har valgt Oracles Java-software som fundamentet for det offentliges brug af NemID?

5) Hvorfor/hvorfor ikke?

6) I kølvandet på fundet af de nye, kritiske sikkerhedshuller er der kommet en del efterskælv omkring nye sikkerhedshuller, fordi Oracle tilsyneladende ikke har lappet de kritiske sårbarheder ordentligt. På en skala fra 0-10 med 0 som "helt usikkert" og 10 som "helt sikkert", hvor sikkert er det egentlig at bruge Java 7 i dag?

7) Det polske sikkerhedsfirma, der i forbindelse med fundet af store sårbarheder i Java tilbage i august påpegede, at hullerne havde stået åbne i flere måneder, har også denne gang været på banen med kritik af, at Oracle har syltet henvendelser vedrørende de to seneste sikkerhedshuller. Hvorfor har Oracle ikke reageret på sikkerhedsselskabets advarsler tilbage i oktober?

8) Når danskerne opdaterer til Java 7 update 11 får de en Ask.com-toolbar med. Hvorfor har Oracle valgt at tilbyde tredjepartssoftware i forbindelse med en meget vigtig opdatering, så danskerne kan bruge deres NemID på en sikker måde?

9) Denne Ask.com-toolbar er på forhånd klikket af i installationsprocessen, så uopmærksomme borgere intetanende installerer en toolbar for en søgemaskine i deres browsere. Hvorfor skal man aktivt fravælge denne søgemaskine-toolbar fremfor bare at vælge den til, når man opdaterer sin usikre Java til update 11?

10) Hvad har Oracle lært af de seneste to kritiske sårbarhedsbølger, der har ramt millioner og atter millioner af Java-brugere i august og nu senest her i januar?

11) Hvad gør Oracle for at dæmme op for eventuelle sikkerhedshuller i fremtiden?

Her er Oracles danske direktørs mail-svar på Computerworlds 11 spørgsmål

Her er Oracles svar til Computerworld afsendt fra selskabets landechef torsdag den 24. januar klokken 15:49 som reaktion på Computerworlds 11 konkrete spørgsmål.

"Oracle har et omfattende sikkerhedsprogram, hvor vi fokuserer på at bygge sikkerhed ind i produkterne.

Dette program inkluderer Oracle Secure Coding Standards, obligatorisk sikkerhedstræning for udviklerne, anvendelse af automatiserede værktøjer til brug for analyse og test - og ikke mindst et løbende arbejde for at vedligeholde en kultur, der tænker i sikkerhed. Det er vores målsætning, at Oracles produkter er så sikre som overhovedet muligt - og det gælder også for Java.

Det er ikke min rolle at kommentere DK CERT's anbefalinger. Men jeg kan sige, at Oracle har et tæt samarbejde med sikkerhedscommunitiet - herunder de nationale sikkerhedsorganisationer.

Hvis du ser historisk på det, så har der altid fundet en arbejdsdeling sted, hvor CERT'erne er dem, der kommunikerer advarsler om sårbarheder og de umiddelbare anbefalinger til at beskytte sig. Vi på vores side fokuserer på at evaluere de rapporterede sårbarheder og udsende opdateringer, der lukker eventuelle huller i sikkerheden.

Vi er opmærksomme på den kritik, der er omkring Java og tager den naturligvis alvorligt.

Med hensyn til dine spørgsmål om Ask-værktøjslinjen, så skulle jeg hilse fra Anders (Oracles kommunikationsdirektør Anders Lund Rendtorff, red.) og sige, at han har adresseret det på Computerworlds website - du er velkommen til at tage citaterne herfra."

Debatten med Ask.com-toolbar kan du følge og deltage i her.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cloud giver dig fleksibilitet, skalerbarhed og agilitet – men hvordan håndterer man sikkerheden?

Cloudsikkerhed handler om effektiv orkestrering og automatisering for at muliggøre hurtig detektion af og reaktion på hændelser. Det handler om at eliminere kompleksitet, sikre smidighed og sikre fleksibilitet. På dette seminar bliver du klogere på hvordan du planlægger, designer, implementerer og kører dit cybersikkerhedsprogram effektivt.

23. juni 2021 | Læs mere


Effektiv drift og support af applikationer i Dynamics 365 FO

Med Microsoft Dynamics 365 for Finance and Operations (FO) er forretningssystemet flyttet i skyen. Dermed er det slut med store opgraderingsprojekter, og virksomheder og organisationer skal i stedet være klar til løbende opdateringer, som sendes ud flere gange om året. Det kræver et særligt fokus på effektiv drift af applikationerne, hvis stabiliteten i applikationerne skal opretholdes og konkurrenceevnen bevares. I dette webinar bliver du inspireret til, hvordan du får mest muligt ud af din investering i Microsoft Dynamics 365 FO med en driftsaftale, så platformen udvikler sig sammen med din forretning.

24. juni 2021 | Læs mere


The intelligent business: From neat idea to reality

The choice to become a more intelligent business and optimize workflows is not always straightforward, but it requires that you take a step back and see the possibilities in other ways. Come inside when we try to focus on the intelligent business. Hear how SAP S / 4HANA makes processes intelligent and transforms traditional workflows.

01. juli 2021 | Læs mere






Premium
LogPoint-topchef Jesper Zerlang indsætter tidligere Superliga-spiller som ny dansk landechef
Jesper Zerlang overlader pladsen som landechef for det danske marked hos it-sikkerhedsselskabet LogPoint. I stedet skal han fokusere på jobbet som topchef for hele koncernen, der er til stede i ni lande.
Computerworld
Efter Windows 11-lækket: Her er de nye elementer - og lanceringsdatoen
Podcast: Hvad kan Windows 11 tilbyde? Hvad kræver det af dit hardware? Hvornår kommer det? Og hvorfor har NNIT indsat Pär Fors som ny topchef? Ham har vi mødt på hans kontor i Søborg. Få svarene i denne episode af Computerworlds nyhedspodcast.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
White paper
Smid lænkerne, ryd op i legacy-IT og kom videre på den digitale rejse
Få indblik i gennemprøvet metodik, som gør det muligt at analysere og gennemskue præcis hvordan du moderniserer dine legacy-systemer.