Stort galleri:Tag med til kåringen af Årets CIO 2021 - og se hvordan Morten Holm Christiansen blev udnævnt

Artikel top billede

Java-problem: Disse spørgsmål vil Oracle Danmark ikke svare på

Interview: Oracle Danmark vil ikke besvare Computerworlds spørgsmål om farlige huller i Java. "Vi har svaret, hvad vi ønsker," siger direktør Kenneth Johansen. Se Computerworlds spørgsmål til Oracle her.

At Oracles Java-platform har været under heftige sikkerhedsbeskydninger i det seneste halve år kan næppe komme bag på mange, der følger med i it-verdenenes op- og nedture.

Først var der stærkt kritiske sikkerhedshuller i Java tilbage i august 2012, og igen i begyndelsen af 2013 blev der meldt om nye, kritiske sårbarheder i den udbredte platform.

Computerworld har i en uges tid forsøgt at få et interview med Oracles danske chef, Kenneth Johansen, om, hvad der egentlig er op og ned i Oracles politik med hensyn til Java-sikkerheden.

I første omgang forlangte Oracle, at Computerworld sendte samtlige spørgsmål på mail med den begrundelse, at Oracle kunne forberede sine svar bedst muligt.

To dage efter, at spørgsmålene blev sendt af sted, modtog Computerworld denne mail fra Oracle-chefen - uden svar på Computerworlds spørgsmål.

Oracle vil gerne forberede sig

Herefter griber Computerworld telefonen og ringer til selskabets danske landechef, Kenneth Johansen, for i stedet at få svarene i telefonen.

"Der er ingen grund til at du stiller flere spørgsmål"

Det lykkedes ikke i første omgang, da en travl mødekalender hos landechefen blokerer for et egentligt interview. 

Mandag formiddag 28. januar er der endelig hul i gennem, og nu kan vi endelig få svar på spørgsmålene. 

Tror vi da.

"Det er lidt et høflighedsvisit, at jeg ringer nu," indleder Oracles landechef Kenneth Johansen samtalen med, hvorefter han henviser til den mail, som Oracle tidligere har sendt til Computerworld med "svar" på vores spørgsmål.

Jamen, I svarer jo ikke på spørgsmålene, så dem kan vi jo tage nu.

"Som jeg tidligere har sagt, så vil vi på dette område (omkring Java-usikkerheder, red.) gerne kommunikere, som vi allerede har gjort. Det vil vi tillade os at fastholde. Vi vil naturligvis gerne tage et interview, hvis det handler om nogle andre områder."

Ok, nu vil jeg så gerne have svar på de spørgsmål, som vi har sendt til jer tidligere. Dem kan jeg jo lige løbe igennem nu.

"Det behøver du ikke. For du får ikke andre svar, end jeg allerede har givet dig."

Ok, men jeg skulle stille spørgsmålene i en mail frem for at konfrontere Oracle i et telefoninterview. Hvorfor det?

"Fordi du ville stille nogle spørgsmål omkring Java-sikkerhed, og vi ville gerne have dem skriftligt, og vi mener, at vi har svaret tilbage, som vi mener, vi skal gøre."

Helt konkret vil jeg også gerne have talt med dig som landechef fra starten. Hvorfor kunne det ikke lade sig gøre?

"Fordi jeg gerne ville forberede mig, og derefter har vi svaret tilbage, som vi gjorde."

Interview interruptus

Den offentlige sikkerhedstjeneste DK Cert har anbefalet, at danskerne kører med to browsere, hvoraf den ene browser har Java deaktiveret og kan bruges til at surfe frit rundt på nettet. Den anden browser skal derimod have Java slået til, og den skal udelukkende bruges på sikre sites som netbanken og Borger.dk, hvor det Java-afhængige NemId skal bruges. 

Er Java virkelig så usikkert, at danskerne fremover skal bøvle med to forskellige browsere og deaktivering af Java?

"Mads, Mads, Mads. Jeg har sagt til dig flere gange, at vi har givet de svar, som vi ønsker på dette område. Så vi bliver nødt til at parkere den her."

Føler Oracle, at selskabet har et særligt ansvar i Danmark, hvor den danske stat netop har valgt Oracles Java-software som fundamentet for det offentliges brug af NemID?

"Tak for spørgsmålene, men jeg har sagt, at vi har svaret. Så der er ingen grund til at, at du stiller mig en masse flere spørgsmål."

Det drejer sig ikke om flere eller nye spørgsmål. Det drejer sig om de gamle spørgsmål, som jeg allerede har mailet til jer.

"Så kommer jeg jo bare til at lægge røret på, og det er der ingen grund til. Så vil jeg hellere bare sige tak for denne gang."

Jamen, så er der jo ingen grund til at fortsætte interviewet.

"Det er korrekt."

Med den afskedsreplik slutter interviewet med Oracles danske landechef om flere sårbarheder i selskabets Java-platform, som måske/måske ikke allerede er blevet lappet, og som hidrører sikkerheden på fire millioner NemID-danskeres computere.

Her er spørgsmålene, som Oracle ikke vil svare på

Computerworld har i forbindelse med at få svar fra Oracle Danmark sendt 11 spørgsmål. 

Disse 11 spørgsmål samt Oracle Danmarks svar kan du se her: 

1) Computerworld har ønsket at få svar på en række spørgsmål omkring de seneste Java-usikkerheder. Oracle forlanger, at Computerworld stiller spørgsmål i en mail frem for at konfrontere Oracle i et telefon-interview. Hvorfor det?

2) Vi ville helt konkret gerne tale med Oracles danske landedirektør Kenneth Johansen for at få svar på disse spørgsmål. Det kunne umiddelbart ikke lade sig gøre. Hvorfor ikke?

3) Den offentlige sikkerhedstjeneste DK Cert har anbefalet, at danskerne kører med to browsere, hvoraf den ene browser har Java deaktiveret og kan bruges til at surfe frit rundt på nettet. Den anden browser skal derimod have Java slået til, og den skal udelukkende bruges på sikre sites som netbanken og Borger.dk, hvor det Java-afhængige NemId skal bruges. Er Java virkelig så usikkert, at danskerne fremover skal bøvle med to forskellige browsere og deaktivering af Java?

4) Føler Oracle, at selskabet har et særligt ansvar i Danmark, hvor den danske stat netop har valgt Oracles Java-software som fundamentet for det offentliges brug af NemID?

5) Hvorfor/hvorfor ikke?

6) I kølvandet på fundet af de nye, kritiske sikkerhedshuller er der kommet en del efterskælv omkring nye sikkerhedshuller, fordi Oracle tilsyneladende ikke har lappet de kritiske sårbarheder ordentligt. På en skala fra 0-10 med 0 som "helt usikkert" og 10 som "helt sikkert", hvor sikkert er det egentlig at bruge Java 7 i dag?

7) Det polske sikkerhedsfirma, der i forbindelse med fundet af store sårbarheder i Java tilbage i august påpegede, at hullerne havde stået åbne i flere måneder, har også denne gang været på banen med kritik af, at Oracle har syltet henvendelser vedrørende de to seneste sikkerhedshuller. Hvorfor har Oracle ikke reageret på sikkerhedsselskabets advarsler tilbage i oktober?

8) Når danskerne opdaterer til Java 7 update 11 får de en Ask.com-toolbar med. Hvorfor har Oracle valgt at tilbyde tredjepartssoftware i forbindelse med en meget vigtig opdatering, så danskerne kan bruge deres NemID på en sikker måde?

9) Denne Ask.com-toolbar er på forhånd klikket af i installationsprocessen, så uopmærksomme borgere intetanende installerer en toolbar for en søgemaskine i deres browsere. Hvorfor skal man aktivt fravælge denne søgemaskine-toolbar fremfor bare at vælge den til, når man opdaterer sin usikre Java til update 11?

10) Hvad har Oracle lært af de seneste to kritiske sårbarhedsbølger, der har ramt millioner og atter millioner af Java-brugere i august og nu senest her i januar?

11) Hvad gør Oracle for at dæmme op for eventuelle sikkerhedshuller i fremtiden?

Her er Oracles danske direktørs mail-svar på Computerworlds 11 spørgsmål

Her er Oracles svar til Computerworld afsendt fra selskabets landechef torsdag den 24. januar klokken 15:49 som reaktion på Computerworlds 11 konkrete spørgsmål.

"Oracle har et omfattende sikkerhedsprogram, hvor vi fokuserer på at bygge sikkerhed ind i produkterne.

Dette program inkluderer Oracle Secure Coding Standards, obligatorisk sikkerhedstræning for udviklerne, anvendelse af automatiserede værktøjer til brug for analyse og test - og ikke mindst et løbende arbejde for at vedligeholde en kultur, der tænker i sikkerhed. Det er vores målsætning, at Oracles produkter er så sikre som overhovedet muligt - og det gælder også for Java.

Det er ikke min rolle at kommentere DK CERT's anbefalinger. Men jeg kan sige, at Oracle har et tæt samarbejde med sikkerhedscommunitiet - herunder de nationale sikkerhedsorganisationer.

Hvis du ser historisk på det, så har der altid fundet en arbejdsdeling sted, hvor CERT'erne er dem, der kommunikerer advarsler om sårbarheder og de umiddelbare anbefalinger til at beskytte sig. Vi på vores side fokuserer på at evaluere de rapporterede sårbarheder og udsende opdateringer, der lukker eventuelle huller i sikkerheden.

Vi er opmærksomme på den kritik, der er omkring Java og tager den naturligvis alvorligt.

Med hensyn til dine spørgsmål om Ask-værktøjslinjen, så skulle jeg hilse fra Anders (Oracles kommunikationsdirektør Anders Lund Rendtorff, red.) og sige, at han har adresseret det på Computerworlds website - du er velkommen til at tage citaterne herfra."

Debatten med Ask.com-toolbar kan du følge og deltage i her.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Webinar: Tør du håndtere cyberberedskabet på egen hånd?

Der er akut behov for at øge visibilitet, indsigt og overblik, hvis man som virksomhed skal have en chance for at afværge og minimere skaden ved cyberangreb. Trusselsbilledet udvikler sig imidlertid så hastigt, at opgaven let vokser selv større virksomheder, med en eller flere dedikerede IT-sikkerhedsansvarlige, over hovedet. Bliv klogere på dette seminar.

22. september 2021 | Læs mere


GDPR i dagligdagen: Vedligeholdelse og tilsyn

Det er efterhånden ved at være noget tid siden, at vi blev introduceret til GDPR, og alle organisationer har med tiden fået styr på dataflow og håndteringen af persondata i organisationen. Mange valg har skulle træffes og det har krævet mange ressourcer. Få overblik over de seneste nye tiltag og udmeldinger fra Datatilsynet samt overblik over de seneste regler, og hvordan du håndterer dem.

23. september 2021 | Læs mere


Årets CISO 2021

I både offentlige og private organisationer er der behov for at uddanne, rekruttere og fastholde de bedste it-sikkerhedsfolk, fordi sikkerhedsudfordringerne konstant forandres. Derfor sætter vi fokus på best practice inden for it-sikkerhed, og vi vil samtidig fremhæve de personer i Danmark, der gør et ekstra stykke arbejde for at styrke den digitale sikkerhed. Vi hylder derfor årets CISO 2021 på denne konference.

05. oktober 2021 | Læs mere






Premium
Kæmpe it-problemer i det danske skattevæsen: Har kun kortlagt it-beredskabet for syv ud af 230 it-systemer
Statsrevisorerne skyder en sønderlæmmende kritik af Skatteministeriets it-beredskab af sted. It-beredskabet for kritiske forretningsprocesser "er utilfredsstillende og utilstrækkeligt," lyder det. I værste fald kan det ende med, at staten ikke kan opkræve skatter og afgifter, udbetale løn, SU, sociale ydelser og pension.
CIO
“Der har simpelthen været for få gråhårede medarbejdere involveret i den her udviklingsproces. Folk der ved, hvad der skal til”
"Vi havde ansat nogle unge mennesker i sandaler og med langt skæg for at bryde med det traditionelle it-setup. De her vakse unge mennesker fik også ret hurtigt bygget en supersmart applikation til virksomheden. Men den brager ned, da vi ruller den ud, og den fylder cirka 1,5 procent af alle transaktioner."
Job & Karriere
35-årig kvinde gik amok på hjemmekontoret efter fyring: ”De fjernede ikke min adgang, så jeg slettede p-drevet lol”
En 35-årig kvinde står anklaget for at have slettet 21,3 gigabyte data fra fællesdrevet efter, at hun blev fyret. Nu risikerer hun op til 10 års fængsel.
White paper
Hvad koster det egentlig…? Tag overblikket tilbage over dine omkostninger i skyen
Mange organisationer arbejder på tværs af flere cloudplatforme – men er udfordret af, at det kan være næsten umuligt at vide, hvad man betaler for og hvorfor.