Det er ikke mer enn en to uker siden et
alvorlig sikkerhetshull i Java ble oppdaget som førte til at Apple
blokkerte eldre versjoner av Java i Safari. Oracle var raske på labben og fikk ut en
oppdatering få dager etter, men nå viser det seg at også denne versjonen av Java inneholder alvorlige sikkerhetshull.
Hvor lenge skal bankene med BankID skyve sikkerhetsansvaret over på forbrukere?
Her i Norge trenger vi egentlig ikke å bruke Java til stort annet enn
BankID og
Norsk Tipping. Sistnevnte klarer vi oss helt fint uten, men BankID er det derimot litt vanskeligere med. BankID er nemlig innlogging- og autentiseringssystemet som norske banker har gått sammen om på tvers av bankene og det offentlige Norge. Ideen er god, men gjennomføringen er det verre med.
BankID er en løsning som er bygget på Java og krever dermed at du har Java installert på din datamaskin for å kunne benytte BankID. Problemet er ikke bare at Java har mange sikkerhetsutfordringer, men også at mobile plattformer som iOS, Windows Phone og Android ikke støtter Java i nettleseren.
Ikke bare har BankID valgt en teknisk løsning som tilhører 90-tallet, de har valgt en løsning som ikke har noen fremtid i vår mobile dataverden og som har like mange hull som en sveitserost.
Ansvarsfraskrivelse?
I tillegg til en teknisk løsning med mange sikkerhetsutfordringer, så virker det ikke til at BankID faktisk tar over seg hva dette betyr for sluttbrukeren. Problemet er vel kanskje at det er bankene som er BankID sine kunder og ikke oss forbrukere?
Nettbanken din er sikker og trygg. BankID og bankene har i sum mange lag av sikkerhet som gjør at de kriminelle ikke lykkes med å komme til pengene våre
sier Odd Erling Håberget, leder i BankID Norge, i en
pressemelding.
Nettbanken og pengene våre er ifølge BankID fortsatt sikre. Det er fint å vite, men det tar vi også som en selvfølgelighet. Det er
ikke dette som er problemstillingen.
BankID «påtvinger» alle nordmenn, som ønsker å ha tilgang til en nettbank, å installere Java. En programvare, som gjennom en rekke beviselig angrep, gjør våre datamaskiner uttrygge og del av internasjonale kriminelle nettverk. Disse kriminelle nettverkene benytter våre personlige datamaskiner til alt fra SPAM-utsendelser og DDOS-angrep på nettsider til identitetstyveri og phishing.
Skal vi ha tilgang til vår nettbank må vi altså installere programvare som gjør våre maskiner utsatt for alvorlige angrep. At pengene i nettbanken garanteres og er «sikre» er ingen trøst når Macen min deltar i et DDOS-angrep mot utskyldige nettsteder eller identiteten min blir stjålet. Hva skal jeg gjøre da BankID?
Vi følger nøye med på utviklingen. Slik vi vurderer det nå, mener vi man kan bruke Java i oppdatert versjon med stor grad av trygghet
uttalte Odd Erling Håberget, leder i BankID Norge noen dager etter forrige
alvorlig sikkerhetshull i Java ble oppdaget.
Dessverre for oss forbrukere er dette
ikke sant. Allerede to dager etter Oracle slapp en fiks for Java, var det funnet
flere nye alvorlige sikkerhetshull i programvaren. Disse hullene er ikke like alvorlige som hullet Oracle tettet og krever brukerinteraksjon, men dette har ikke stoppet ondsinnede fra å angripe tidligere.
Fjorårets største trussel på OS X,
Flashback, spredde seg gjennom hull i Java. Java er blitt favoritten for alle nettkriminelle og i disse miljøene koster det ikke mer enn
$5000 for å få tilgang til foreløpig ukjente og ikke rettede hull i Java.
BankID har lansert BankID for iOS, en egen applikasjon som gir deg mulighet for BankID på iPhone uten bruk av Java, men foreløpig er det et fåtall av banker som har implementert støtte for BankID-applikasjonen. Noen banker, som Skandiabanken og DNB, tilbyr også alternative innloggingsmetoder som ikke inkluderer BankID. BankID uttaler også at de har startet «et prosjekt» for å se på alternativer til Java. Det burde dere ha sett på for lenge, lenge siden.
Ønsker du en sikker Mac er det fortsatt anbefalt å holde Java avslått i din hovednettleser og ha en ekstra nettleser med Java for nettbank.