Danskene i Java-kaos

Danskene i Java-kaos

- Ikke nødvendig å deaktivere Java, mener danskenes svar på BankID.

Alvorlige sikkerhetshull i Java har skapt storm over hele verden. I Norge og Danmark er saken enda verre. Begge land bruker Java i innloggingen av sine offentlige tjenester. I Norge godkjente myndigheten bruk av BankID for kort tid siden, for ID-porten.

Danmark har NemID, en tilsvarende løsning som BankID. Ifølge Computerworld Danmark er ekspertene sterk uenig om bruk av Java. Sikkerhetsfirmaet CSIS Security Group opplyste før helgen om misbruk av denne ukens Java-hull av flere organiserte bander. De kom med følgende melding:

"... Det er systematisk anvendelse av det ferske hullet for å plassere «ransomware», nettbank- og informasjonstyveriprogram samt avanserte rootkits og nedlastere, som kan installere falske sikkerhetsprodukter og annen uønsket og ondsinnet programvare."

LES OGSÅ: - Slå av Java nå!

Motsatte anbefalinger

Deretter gikk det offisielle danske sikkerhetssenter, DK-CERT, direkte ut med en advarsel mot å bruke nettlesere som har Java 7 aktivert.

"I august så vi et lignende sikkerhetshull i Java, og vår anbefaling er denne gangen at alle borgere deaktiverer nettleserens Java-plugin," var kommentaren fra DK-CERT.

Sjefssikkerhetskonsulent Thomas Wong fra Fortconsult anbefalte også at offentlige myndigheter og virksomheter bør slå Java fra med det samme.

Men så kom leverandøren til NemID, Nets, på banen. Nets gikk mot strømmen og anbefalte noe helt annet:

"Vi anbefaler, at folk benytter Java, som de pleier."

Oops. Det var helt andre toner. It-leverandøren har fått med seg rådene til de andre sikkerhetseksperter, men mener de ikke holder mål.

"Vi mener dog ikke, at der er noen grunn til at gjøre noe spesielt som eksempelvis å avinstallere Java eller annet på nåværende tidspunkt."

Så kommer en sleivspark til sikkerhetsmyndighetene:

"Vi har også hørt anbefalingene om at man bør deaktivere Java eller benytte særskilte nettlesere, men det mener vi ikke er nødvendigt."

LES OGSÅ: Derfor må Java i nettleseren dø

Utopi å tro på riktig svar

Computerworld Danmarks kommentator Kim Stensdal skriver om «total forvirring» og ber myndighetene å komme med entydige anbefalinger. Selv om Oracle har løst problemene for denne gangen vil slike hendelser dukke opp igjen i fremtiden.

«Hva vi mangler er svaret på hvem vi skal lytte til neste gang det er et kritisk hull i Java eller andre teknologier.»

Men Stensdal lurer også på om det er en utopi å forvente at komplekse sikkerhetsspørsmål har enkle svar.

«Hvis det er tilfellet, hvem velger du så at lytte til neste gang det er problemer med sikkerheten?», skriver han.

LES OGSÅ: Vil kvitte seg med Java

Les om:

Utvikling