Sikkerhedsekspert: Håbløst at basere NemID på Java

På trods af, at NemID hævder, at det aktuelle sikkerhedshul i Java ingen konsekvenser har for sikkerheden i NemID og brugen af netbank og kommunikation med offentlige it-systemer, så advarer it-sikkerhedsekspert i Secunia Thomas Kristensen om øgede risici ved brug af Java.

»Hvis man ser på det med en sikkerhedsmands briller, er det et alvorligt problem, at basere NemID på Java. Java har vist sig at være tungt og besværligt for brugerne at vedligeholde, og folk ignorerer opdateringer af Java i lang tid, selv om der løbende kommer en meddelelse om opdatering,« siger han til Version2.

Og hackerne har også fundet ud af, at Java er en god vej ind i på brugernes maskine.

»Hvis man kigger på Microsofts seneste Security & Intelligence Report nævner den, at der er en stigning i antallet af udnyttelse af Java-sårbarheder. Og det er der en god grund til. Browsere er begyndt at komme med sandbox-funktionalitet, og der er Java en af de ting, der gør det nemmere at bryde ud af sandboxen, så hvorfor skulle man spilde sin tid og kræfter på at udnytte en sårbarhed dybt inde i Chrome eller Internet Explorer, hvis man bare kan udnytte en sårbarhed i Java og hoppe ud af sandboxen den vej, for den kører i forvejen uden for den sandbox, som browseren laver,« siger Thomas Kristensen.

Han finder det problematisk, at NemID tvinger danskere til at have installeret Java for at gå i netbanken eller for at kommunikere med det offentlige.

»Det positive er, at vi har en tofaktor-autentifikation, hvilket gør det sværere at misbruge en dansk bankkonto, men der er ikke noget problem i, når du først er inde på brugerens maskine, at lægge et lag mellem hvad brugeren ser, og hvad der reelt sker i banken. Der kunne kunne man godt vise et andet beløb og andre konto, end dem som brugeren sidder og siger ok til,« siger Thomas Kristensen.

Han tilføjer, at NemID i hans øjne slet ikke har grund til at lave en Java-løsning, men at man i stedet burde lave et web-interface. Han kalder dermed valget af Java for unødvendigt.

»Det (valget af NemID, red.) har sørget for, at software, som ligger på top 5 over hackernes favoritsoftware til at komme ind på folks maskiner, er tvunget ned i halsen på brugerne og er på deres maskiner,« siger Thomas Kristensen.