Flere sikkerhedseksperter angriber nu NemID for at gøre livet for nemt for hackere. Tre millioner danske pc'ere er sårbare over for et sikkerhedshul, der kan give it-kriminelle adgang til din computer.
Det skriver version2.dk.Sårbarheden er til stede på alle danske computere, der bruger NemID. Uden undtagelse. Sikkerhedsfirmaet Acros Security har opdaget et sikkerhedshul i det såkaldte Java Runtime Environment, som NemID benytter.
Når en bruger prøver at logge ind på f.eks. netbank, giver sikkerhedshullet it-kriminelle mulighed for at videresende brugeren til et helt andet sted, hvor der kan installeres virus eller hvor personlige oplysninger bliver høstet.
Hullet eksisterer på alle computere, der bruger NemID, da disse maskiner SKAL have installeret Java Runtime Environment. Hvis man ikke installerer det, kan man ikke tjekke netbank eller foretage sig andre NemID-handlinger.
Og Java Runtime Environment er helt generelt et favoritbrækjern ind i din computer. Hvis du forestiller dig, at din computers sikkerhed er et hus - er Java Runtime Environment et vindue, der står på klem for tyven.
- NemID har sørget for, at software, som ligger på top 5 over hackernes favoritsoftware til at komme ind på folks maskiner, er tvunget ned i halsen på brugerne og er på deres maskiner, siger Thomas Kristensen, der er it-sikkerhedsekspert i Secunia, til version2.dk. Han fortæller samtidigt, at NemID sagtens kunne lave en løsning, der går helt uden om Java Runtime Environment.
Den seneste sikkerhedsrapport fra Microsoft, 'Security & Intelligence Report', nævner, at der er en stigning i antallet af udnyttelser af sårbarheder i Java Runtime Environment.
Og det er der en god grund til. Thomas Kristensen siger, at et angreb mod din computer via sårbarheder i Java er en slags genvej - i forhold til, hvis hackeren angreb din computer igennem f.eks. Internet Explorer eller Chrome.
Et af Java Runtime Environments største problemer er, at brugerne glemmer at opdatere softwaren. Hvis man ikke løbende opdaterer sin software, bliver sårbarheder ikke lukket. Det udnytter de it-kriminelle, siger Thomas Kristensen.
- Hvis man ser på det med en sikkerhedsmands briller, er det et alvorligt problem, at basere NemID på Java Runtime Environment. Java har vist sig at være tungt og besværligt for brugerne at vedligeholde, og folk ignorerer opdateringer af Java i lang tid, selv om der løbende kommer en meddelelse om opdatering, siger han til Version2.
Peter Kruse fra sikkerhedsfirmaet CSIS er bange for, at Danmark nu i højere grad bliver et favoritmål for it-kriminelle, fordi så store dele af befolkningen har installeret Java Runtime Environment.
- I forbindelse med danskernes kommunikation med det offentlige via NemID er Java Runtime Environment mere udbredt end andre steder. Dén store udbredelse sammenholdt med beskaffenheden af sårbarheden gør, at vi betragter det her som kritisk, siger it-sikkerhedseksperten til Version2.
Hos Nets DanID, der står bag NemID, er frygten for hacker-angreb dog en del mere dæmpet.
- På spørgsmålet om, hvorvidt denne sårbarhed i Java udgør en specifik trussel for NemID-brugerne, så er svaret, at man netop har introduceret NemID, der benytter sig af tofaktor-sikkerhed, for at øge sikkerheden mod angreb, hvor brugerens PC er blevet kompromitteret. Vi mener altså ikke, at denne Java-sårbarhed udgør en fare for NemID-brugerne, skriver kommunikationsmedarbejder i Nets DanID, Michael Juul Rugaard, til Version2.
It-sikkerhedseksperten Thomas Kristensen siger, at selvom man både skal indtaste kodeord og NemID-kode i tofaktor-autentifikationen, er systemet stadig usikkert, når man bruger Java Runtime Environment.
- Det positive er, at vi har en tofaktor-autentifikation, hvilket gør det sværere at misbruge en dansk bankkonto, men der er ikke noget problem i, når du først er inde på brugerens maskine, at lægge et lag mellem hvad brugeren ser, og hvad der reelt sker i banken. Der kunne kunne man godt vise et andet beløb og andre konto, end dem som brugeren sidder og siger ok til, siger han til version2.dk.
