Hvordan skulle NemID overhovedet være blevet påvirket? jeg loggede sgu bare ind på min netbank alligevel, er da røv ligeglad (også fordi den bare står i minus) men alligevel.. NemID ændre kode hver gang du logger ind og derved er chancen for at lige nøjagtig din PC er hacket på lige nøjagtigt det tidspunkt hvor du logger ind er simpelthen så lille.
Men super at de har fixet det.
--
Jeg kunne forestille mig at hackers kan opsamle din åbne session, så de logger ind "sammen" med dig, og derved har fuld adgang til alt hvad du foretager dig, og derved også dine person-følsomme data som man kan finde i fx sin netbank.
- Dozer
--
Mongollærling #3
Jeg mener at denne opdate IKKE lukker sikkerhedshullet i JAVA.. Det skulle bare gøre at man for bedre oplysning om at der er et problem...
--
Vh.
Johnny
#3 Nej, de er fixet
--
Yea though I walk through the valley of the shadow of death I will fear no evil for I am the god of death.
#1
Problemet er ikke din nemID som sådan, men det at nemID benytter Java, som gør at du er afhængig af det.
Problemet opstår, når sikkerheds hullet ER blevet udnyttet mod dig.
Dem der har udnyttet det, vil have fuld adgang til din PC.
Det de så potentielt kunne gøre, skulle man forestille sig de havde kendskab til nemID var, at de næste gang du logger på med nemid, giver dig en "falsk applet".
Du taster altså gladeligt din kode ind, men uden og vide hvad den bliver brugt til.
Du bliver promptet med en fejl om at du ikke kunne logge ind, og at du skal prøve igen.
Alt imens vedkommende der har narret dig, sidder med den kode du lige har angivet, og kan logge ind i din netbank med den.
--
+1 indlæg = *PUFF*
"Efter det kom frem at der var store sikkerhedshuller i Java som kunne give fuld adgang til brugerens computer, har Oracle arbejdet på højtryk for at få lukket dette hul."
Passer nu ikke helt, Oracle har kendt til fejlen i over et halvt år.
--
Gæstebruger, opret dit eget login og få din egen signatur. #6
Derfor kan de da godt have arbejdet på fuld højtryk for at lukke hullet alligevel, det tager jo typisk lidt tid at ændre ting i et program.
--
Veni, Vidi, Vici
#6
Jeg kender ikke din kilde på det halve år, og vil derfor ikke sige den i mod.
Men jeg forestiller mig, (Jeg er ikke udvikler ved Oracle, så jeg gætter i det her tilfælde) at man godt kan have kendt til problemet i længere tid, men har prioriteret anderledes i forhold til at lukke hullet, fordi det ikke har været så udbredt/kendt et problem offentligt?
Når det er blevet det, har man så sat alle kræfter ind på og fikse det?
Det virker til, at du kender væsentligt mere til historien så du må endelig skyde mine gætterier ned, i det tilfælde dette er muligt.
--
+1 indlæg = *PUFF*
IT-sikkerheds nyheder på hold.dk, det er godt at se.
Åbne jeres netbank i en virtuel maskine, som du ik bruger til andet ind netbank - hvis du er paranoid ;).
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P
#9
hvorfor ikke gå længere, hæv alle dine penge og opbevar dem i din madras :)
--
google.com det er ikke så svært vel...
Også har de ikke engang rettet hullet
Det denne update gør er at hæve default sikkerhedsindstillingerne så man vil blive promptet før alle 3. parts applets bliver loadet
--
Linux, både privat og professionelt
Bump? No answer
#11 De har lukket et par hullet og ændret default sikkerheds niveau, så det er fixet
--
Yea though I walk through the valley of the shadow of death I will fear no evil for I am the god of death.
og kan det passe at man efter installation af opdateringen ikke kan loade nem-id java applikationer på de forskellige hjemmesider (?) jeg kan ikke i hvert fald.
Tænker det drejer sig om at de respektive hjemmesider (fx danske bank netbank) ikke genkender update 11 som sidste nye?
--
MSI Z77A-GD65 m. CI7 3770K + 16gb RAM
Gigabyte 670GTX 2 x 256gb Vertex 4 SSD + 3TB lager
32" UE32D6515 skærm + 1 x Asus UX31A
Som folk siger, så er det JAVA der er problemet. Sikkerheds hullet gør, at hackere kan lægge en skadelig kode i din JAVA installering. Denne kode kan aktiveres fx når du går ind på din Netbank, den kan også aktivere sig selv, skjult som fx Netbank. Så når koden aktiverer sig selv, kan PCen fx tro, at det 'bare' er Netbank, der vil køre.
Eksperterne anbefaler faktisk, at man helt deaktiverer sin JAVA i sin browser, eller afinstallerer JAVA, indtil man har opdateret den. Efter man har opdateret den, er det ikke engang en garanti for at systemet bliver sikkert. Så vidt jeg kunne forstå, gør opdateringen ikke meget andet end at sætte sikkerhedsnivauet i JAVA på High som standard, dvs at JAVA blokerer for alle 3. parts programmer i at køre, så der kommer en popup hvis et 3.parts program forsøger at køre. Men hackerne kan stadig forklæde deres kode som fx netID eller den infamøse Jusched, og kan derfor stadig få adgang til din computer selvom du har opdateret din JAVA platform.
Selvom danske sikkerheds eksperter siger god for, at JAVA er sikker og køre igen, anbefaler amerikanske eksperter stadig at holde sig fra JAVA sessioner medmindre det er absolut nødvendigt. Netop fordi at hackerne kan skjule koden i en 'godkendt' session, som fx nemID
--
Mer Grønlænder til folket! ,)
#14 Hvor har folk det fra at hullet ikke er lappet?
Java opdateringen har 1: Lappet 2 huller og 2: Sat standard niveauet op til høj.
--
Yea though I walk through the valley of the shadow of death I will fear no evil for I am the god of death.
Syntes da tit Java selv opdaterer, men da jeg gik ind for at kigge på deres side var versionen på compen mere end 1.0 dut gammel. >_
--
Phenom II X4 965 | ASUS M4A79T Deluxe | Kingston 8GB DDR3 |Sapphire HD5850 | Corsair H50 | Corsair HX750W | WD raptor & Greenpower
#10 - ahh.., vil godt havde en form for backup, hvis jeg selv skal sørger for det ;).
og kopier seddlerne og ligge dem i et andet hus/grave dem ned, tror jeg ikke lige går ;)
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P
#14
http://www.version2.dk[...]
http://www.version2.dk[...]
Her er lidt læsestof, man må gå ud fra at de ved hvad de snakker om, så hullet burde være lukket
--
i5 2500K @ 4.8GHz | 8GB Dominator | GA-Z68X-UD4-BA3 | HD7970 | Corsair 600T Black | Crucial m4 128gb | Corsair H100 | CM Silent Pro Gold 1000W Hmm, det kan godt være de ikke har ret alligevel. Fandt lige dem her:
http://betanews.com[...] http://www.guardian.co.uk[...]
--
i5 2500K @ 4.8GHz | 8GB Dominator | GA-Z68X-UD4-BA3 | HD7970 | Corsair 600T Black | Crucial m4 128gb | Corsair H100 | CM Silent Pro Gold 1000W http://seclists.org[...]
Adam Gowdiak beskriver her hvordan han allerede i oktober havde advaret Oracle om dette problem...
http://www.kb.cert.org[...]
Amerikanske Vulnerabilities Notes Database advarer imod fortsatte huller, dog ikke samme hul, som er rettet i v7 update 11, men lignende fejl.
https://blogs.oracle.com[...]
Eric Maurice fra Oracle, bekræfter selv i sin blog at hullet er lukket med update 11.
Så tror jeg der skulle findes kilder nok til at mane alle de rygter i jorden.
--
"Remember, amateurs built the Ark. Professionals built the Titanic." - Richard J. Sexton Problemet nu, er vel at man som bruger bliver prompted ved java applets med unknown source/certifikater (hvis jeg har forstået det korrekt), og at disse certifikater sagtens kan forfalskes = stadig ingen sikkerhed?
--
i5 2500K @ 4.8GHz | 8GB Dominator | GA-Z68X-UD4-BA3 | HD7970 | Corsair 600T Black | Crucial m4 128gb | Corsair H100 | CM Silent Pro Gold 1000W
#21 - forfalskes, jooo??
Du kan jo bare lave din egen kopi applet, hvor der står Danid osv. så tror brugeren det er den "rigtige".
Det er i hvert fald et af problemerne... nu der også lige kommet en ny exploit ud til java, den anden er dårlig nok blevet løst.
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P
NemID er påvirket fordi det kører Java. Men i denne forbindelse kræver det stadig at nogen bruger en eller anden form for spoofing for at erstatte NemID appletten med en falsk.
I det store hele... Hvem fanden bruger Java til noget så vigtigt som NemID? Jeg har sgu aldrig set de andre API-baserede OpenAuth systemer fejle noget, og det er da rent HTML/PHP.
--
Sometimes you just wish you were me
Java 7 Update 13 er nu tilgængelig. Nemmeste er nok at gå ind i kontrolpanel og søge efter opdatering.
lidt mere info her:
http://www.oracle.com[...]
--
A clean house is a sign of a broken computer Mac brugere med snow leopard, skal bare køre en software update.
--
"Remember, amateurs built the Ark. Professionals built the Titanic." - Richard J. Sexton