I helga var det mye snakk om et grovt sikkerhetshull i Java., programvaren som brukes i nettbankene.
Sikkerhetsmyndigheter over hele verden, blant dem norske NorSIS, gikk torsdag i forrige uke ut med advarsler mot å bruke Java. Det samme gjorde flere norske nettbanker.
Oracle, som eier Java-teknologien, lovte lørdag å utbedre feilen raskt.
Men er den effektiv?
Og ganske riktig: Nå foreligger det en sikkerhetsmelding med plasterlapper fra Oracle som i hvert fall midlertidig skal bøte på hullet.
Annonse
Men sikkerhetsekspertene er uenige om feilen virkelig er utbedret, og om det virkelig er noe poeng i denne «nødfiksen».
Mange mener at det er selve Java det er noe galt med, og at plattformen må skrives helt om eller til og med skrinlegges for godt.
På sin sikkerhetsblogg beskriver Oracle feilen og hvordan den kan utnyttes.
– Hacker-verktøy finnes
Hullet gjelder ifølge Oracle bare versjon 7 av Java (alle utgaver).
– Vi anbefaler at tiltakene vi beskriver i vår sikkerhetsmelding blir iverksatt så fort som mulig. Dette fordi feilene er ute i det fri, kan utnyttes og er tilgjengelige i ulike hacking-verktøy, heter det i bloggen.
Må lure deg først
Det er imidlertid ikke slik at skumle banditter plutselig kommer seg inn i nettbanken din og stjeler pengene dine på 1-2-3.
For å kunne gjøre dette, må hackeren først lure deg inn på en nettside der det ligger en Java-applet som til forveksling ligner den du bruker i nettbanken.
Kriminelle metoder
Gjennom å innhøste informasjonen du intetanende legger inn i denne, kan kriminelle gå inn i nettbanken din og foreta transaksjoner.
Dette behøver slett ikke skje gjennom Java-lureri. En trojaner og en såkalt keylogger (programvare som registrerer tastetrykk) gjør også jobben.
Må være raske
De må imidlertid være svært raske, for den seks- eller åttesifrede koden som genereres av sikkerhetskalkulatoren i nettbanken er bare gyldig noen få sekunder.
Passord, brukernavn (ofte personnummer) og nettadressen til banken er derimot permanent informasjon som kan lagres til senere bruk (det er derfor smart å endre passord ofte).
Stort omfang
Den aktuelle Java-feilen er ikke direkte bank-relatert, og det har så langt ikke blitt rapportert om tilfeller der banksvindlere har benyttet seg av akkurat denne sårbarheten.
Men det er et faktum at teknikken som er beskrevet ovenfor er blitt brukt i stort omfang. I 2011 forsvant om lag 700 000 kroner fra norske nettbankkunder via trojanere og virus.
Vanskelig å spore
Siden svindlerne ofte bruker mellommenn (såkalte «muldyr») for å skjule hvor pengene til slutt havnet, er det vanskelig å spore transaksjonene.
Les også Java-nødfiks til å gråte av (digi.no).
Annonse
