I fredags bimlede alle alarmklokker og advarsleslamperne blinkede mørkerødt i de fleste medier, pga. et sikkerhedshul i den Java-applet de fleste danskere har installeret på deres computer.
DR var ingen undtagelse, og historien om sikkerhedsbristen var den mest læste historie på DRs hjemmeside i løbet af fredagen.
Men i følge Joseph Kiniry, ekspert i udvikling af sikkerhedsløsninger og professor på DTU, var der i fredags ikke nogen nævneværdig forskel i den overordnede danske IT-sikkerhedsprofil, og han kalder problemets størrelse for "medieskabt og overdrevet".
- Som IT-professionel, der arbejder med udvikling af sikkerhedsløsninger, gjorde jeg ingenting anderledes i fredags, end jeg normalt gør, siger Kiniry.
At sikkerhedshullet adskilte sig fra andre sikkerhedshuller, ved at det aktivt blev udnyttet af folk med dårlige hensigter, får ikke Kiniry til at ændre sin opfattelse af, at det samlede "trusselsbillede" mod danske computere ikke var nævneværdigt anderledes i fredags, sammenlignet med for to uger siden, eller som det er i dag.
Java er stadig usikker og har været det længe
Det tog Oracle, som er firmaet bag Java, fire dage at komme med en opdateret udgave, der efter deres udsagn har elimineret problemet.
Om dette er tilfældet, er der dog delte meninger om.
Adam Gowdiak, stifter af sikkerhedsfirmaet Security-Explorations, siger at der stadig er huller der ikke er lukket. Dette bakkes op af US-CERT, den officielle amerikanske instans for IT-sikkerhed, der mener den seneste opdatering kun lukker det ene af to sikkerhedshuller.
Derfor anbefaler US-CERT stadig at "medmindre det er absolut nødvendigt at køre Java i din web-browser, så deaktiver det". Deres begrundelse er baseret på antallet og alvoren af både dette og tidligere sikkerhedshuller - med andre ord Javas dårlige sikkerhedshistorik.
Sikkerhedsfirma: Java-sikkerhedshuller brugt i 50% af alle "indbrud" på computere i 2012
Adam Gowdiak har tidligere gjort Oracle opmærksom på en række huller i Java, men alle gange har opdateringerne fra Oracle, i følge Gowdiak, været langsommme og mangelfulde. Alene i april 2012, fandt Gowdiak 31 huller, som han delagtiggjorde Oracle i.
I Juni 2012 sender Oracle en opdatering ud, der rettede en del af disse, men ikke alle. I august udsender Oracle endnu en kritisk opdatering, men dagen efter kan Gowdiak påvise at Java stadig kan misbruges, og i september er den gal igen.
At Oracle ikke responderer hurtigt nok, på de sårbarheder der bliver fundet i Java, er sidste uges sikkerhedshul endnu et eksempel på. I følge Gowdiak skyldes sidste uges misære et sikkerhedshul der har stået åbent siden oktober, og som Oracle burde have lukket for længst.
Gowdiaks fund af sikkerhedshuller i Java understøttes af det russiske IT-sikkerhedsfirma Kaspersky Labs, som går så langt som til at udnævne 2012 til "året for java-sårbarheder".
Kaspersky Labs anslår at Java bliver brugt til 50% af alle "indbrud" på computere, og dermed er Java, i følge firmaet, nu det stykke software som oftest bliver misbrugt af IT-kriminelle. Joseph Kiniry kan ikke bekræfte at der er tale om 50%, men er enig i at tallet er højt.
Vi må leve med sikkerhedshuller, som vi lever med andre risici
Sidste uges sikkerhedshul i Java, var altså langt fra en enlig svale, og at det skulle blive anderledes i den nærmeste fremtid, er der altså ikke meget der tyder på.
Den nemmeste løsning ville naturligvis være at deaktivere Java permanent, men den mulighed har danskerne ikke pga. den javabaserede offentlige log-in løsning NemID.
Spørger man Joseph Kiniry, er der masser af plads til forbedringer, både helt konkret i forhold til NemID og til måden man tænker IT-sikkerhed på generelt.
Men selv med forbedringer, og uden Java, er sikkerhedshuller i applikationer en naturlig del af det at bruge internettet. Alligevel maner Kiniry til ro.
- Brugen af computere er, som med meget andet, en balance mellem bekvemmelighed og sikkerhed. Det er ikke meget anderledes end at man låser sin dør eller tager sele på i bilen. Det er nogle forholdsregler som vi tager, uden at de beskytter os 100%, siger Kiniry, og tilføjer at han ikke ville være mere nervøs for at bruge Java end at bruge Windows.
Han opfordrer alle til at bruge deres computere med ro i sindet, og har fire råd til hvordan man nemt overordnet kan sikre sin computer:
- Lad din computer automatisk opdatere dine programmer, så du altid har den nyeste version.
- Aktiver det sikkerhedssoftware som kommer standard med dit styresystem.
- Følg rådet om at deaktivere java i din browser når du ikke skal bruge det, eller brug en seperat browser når du skal bruge NemID.
- Og sidst men ikke mindst, brug din sunde fornuft, inden du klikker på links eller opgiver dine personlige informationer.
