Ja, hva’ ?

Java

I denne uge fokuserede medierne herhjemme på det sikkerhedshul, der findes i den seneste køretidsomgivelse for Java. Det blev især slået stort op, at NemID anvender Java. Politiken skrev:

Alvorligt sikkerhedshul gør dit NemID usikker

Hvis du er en af Danmarks små fire millioner brugere af NemID, skal du være ekstra meget på vagt i disse dage.

Det skyldes et alvorligt sikkerhedshul i programmet Java, som NemID bruger, fremgår det af Ingeniørens netmedie Version2.

Der står til gengæld meget lidt i mediernes dækning om hvad sikkerhedshullet består i over at det gør det muligt i en browser at eksekvere Java-kode, der uden brugerens viden kan tilgå og ændre på resurserne på den computer, som browseren kører på. Kort og godt har vi her at gøre med det allerseneste kapitel i historien om ondsindet mobil kode. Problemet er som altid alvorligt, men der skrives ikke rigtig noget i de danske medier om at den ondsindede Java-kode skal have et ondsindet websted som oprindelse, dvs. ikke kommer fra NemID selv. Det ser ud til at kriminelle allerede udnytter sikkerhedshullet i deres exploit kits.

Den oplagte og brutale løsning er at ændre på indstillingerne i browseren, så Java-køretidsomgivelsen for den er deaktiveret. Det har jeg så gjort. Men samtidig er det en lidt underlig holdning, der næppe findes inden for anden teknologi. Det er jeg ikke, den eneste, der synes. Kurt Baumgartner fra Kaspersky Labs har selvfølgelig en opdatering, og her skriver han:

One of the best statements that I have seen in regards to the fairly impractical “just uninstall it” approach was presented by one of the handlers at the ISC Storm Center in today’s issue of SANS NewsBites: “Editor’s Note ([Mat] Honan): It seems each time a zero day exploit is found in software, be that Java or otherwise, the industry pundits recommend that people stop using that software. New vulnerabilities will always be discovered in the software we use. If our best defence to a threat is to cause a denial-of-service on ourselves then this in the long term is a no-win strategy for us as an industry. We need to be looking at better ways to defend our systems and data, one good place to start is the 20 Critical Security Controls http://www.sans.org/critical-security-controls/”.

På den ene side er Java en tvivlsom glæde. Apple undlod således at lade Java følge med til OS X fra og med 10.7. På den anden side er der stadig udbredte løsninger, der anvender Java – den mest udbredte er NemID. Så vi kan ikke slippe for Java lige nu. Man kunne næppe forestille sig at politiet bad alle husejere om at sløjfe køkkenvinduet, hvis det viste sig at de fleste indbrud i huse fandt sted ad den vej. Men fordi software er immateriel og tilsyneladende let at modificere, kommer det let til at se ud som om softwarefejl ikke er “noget særligt” og at det er let at udbedre fejlene. Ingen af delene passer desværre. Den gamle illusion om software som en “nødvendig bagatel” lever videre.

Måske kan dette seneste problem med software være med til at sætte fokus på det, man kalder interoperabilitet (dvs. om og hvordan forskellige komponenter er i stand til at kommunikere med hinanden) og på problemer med programmeringssprogs understøttelse af dette. For det er jo egentlig det, der er problemet her. På den ene side er der en uønsket interoperabilitet, så komponenter, der ikke må kommunikere med hinanden, bliver i stand til det. På den anden side er Java jo også et programmeringssprog, der er tilstræbt platformsuafhængigt (det er også en slags interoperabilitet), så problemet kommer derfor til at findes på mange forskellige platforme.

Hele udfordringen med interoperabilitet er fokus for et nyt forskernetværk om behavioural types, som jeg er med i som den eneste fra Aalborg Universitet (det er et emne, der ikke er hip på mit institut) og jeg er med til at lave en workshop om selvsamme emne, der finder sted i Rom om et par uger. Den enes død, den andens brød…

(Visited 26 times, 1 visits today)
Loading Facebook Comments ...

Skriv et svar