Seneste Java-versjon fra Oracle inneholder viktige forbedringer og man må oppgradere
Dette skriver Frode B. Nilsen, drifts- og utviklingssjef i BankID Norge på deres nettsider.
Han skriver videre at de ikke utelukker at det fortsatt kan være sårbarheter i Java som i neste omgang kan utnyttes i nye exploit-kits. Derfor er de like opptatt som andre av at Oracle fortsetter å gjøre sikkerhetsforbedringer i Java.
– Jeg vil legge til at trojanere i flere år har vært en del av det generelle trusselbildet på internett og noe som både BankID og andre må forholde seg til. Vi har mekanismer for å oppdage når BankID benyttes fra en infiserte maskin. I våre systemer har vi de siste dagene ikke sett noen merkbar endring i andelen infiserte maskiner. Vår tolkning er at nettsteder som norske sluttbrukere normalt besøker ikke har bidratt til økt spredning av trojanere de siste dagene. Slikt sett er omfanget av faktiske trojaner-angrep på samme nivå som tidligere. Samtidig overvåker vi situasjonen døgnet rundt og har tiltak vi kan iverksette om andelen infiserte maskiner øker vesentlig.
– I sum mener vi at BankID er trygt å bruke, både i nettbanken og andre steder, sier Nilsen.
Frode Nilsen leder et prosjekt som ser på alternativ teknologi for å støtte innlogging og signering:
– Det finnes allerede alternativer som ikke forutsetter Java. BankID på mobil er et eksempel. BankID-app for iOS er også lansert. BankID-app for Android kommer senere i 2013. Slikt sett er vi i ferd med å frigjøre oss gradvis fra Java.
– Vurderingen i prosjektet er om veien videre skal gå ytterligere i app-retning eller om vi skal basere oss på web-teknologi som ikke forutsetter Java. Jeg opplever at det er mange aktører som i dag gjør strategiske vurderinger i dette spørsmålet. Samtidig er det ingen tydelig industritrend. Noen faller ned på den ene tilnærmingen og andre faller ned på den andre.
– BankID Norge er nødt til å finne veien som er best for våre kunder og sluttbrukere i markedet. Foreløpig er det for tidlig å konkludere. Kanskje blir det kombinasjoner av app-teknologi og web-teknologi.
– Fordi BankID er en eID-løsning som tilfredsstiller offentlige krav på høyeste sikkerhetsnivå, er sikkerhetskravene til nye løsninger essensielle. Samtidig ønsker vi oss løsninger som ivaretar brukervennlighet. I prosjektet gjør vi vårt beste for å forene disse hensynene.
– Vi har også involvert krefter som kan se BankID med ”friske øyne” og dermed utfordre de av oss som har levd med dagens løsninger en stund.
– Uansett hvilke alternativer vi faller ned på må vi anta at også nye løsninger vil ha sårbarheter. Kampen mot trojanere og sårbarheter vil ikke være slutt med Java-frie alternativer. De vil bare anta nye former, avslutter Frode Nilsen.
NorSIS har etablert kontakt med BankID Norge for å sikre korrekt og riktig informasjon ut til brukerne for fremtiden.
NorSIS anbefaler
Uavhengig av sårbar Java eller ikke, anbefaler vi at du alltid har to nettlesere installert på din datamaskin. Da har du mulighet til å benytte den andre nettleseren om det skulle bli oppdaget en sårbarhet i den nettlesern du bruker til daglig.
Kilde: Bankid.no
Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.