Tietoturva, BadBunny-virus ja makrot (28.5.2007)

Virustorjuntayritys Sophos on äskettäin julkaissut tiedotteen OpenOffice.orgia käyttävästä "SB/BadBunny-A"-viruksesta. Asiasta on myös julkaistu uutisia useilla uutissivustoilla.

Makrot ovat toimisto-ohjelmistojen käyttökelpoinen toiminnallisuus, joiden avulla käyttäjät voidat automatisoida tehtäviä. Nämä tehtävät voivat sisältää voimakkaita toimia, kuten tiedostojen tuhoamista ja poistamista, jotka tekevät makroista mielenkiintoisia virusten tekijöille.

Millä tahansa käyttökelpoisella makrokielellä on siksi mahdollista kirjoittaa "viruksen kaltaisia" ohjelmia. OpenOffice.org seuraa parhaita tietoturvakäytäntöjä vaaran minimoimiseksi. Jos ohjelmisto havaitsee avattavassa asiakirjassa makroja, se näyttää varoituksen ja suostuu suorittamaan makron vain, jos käyttäjä niin erityisesti haluaa. On erittäin tärkeää, että käyttäjä missä tahansa makrojen suoritukseen kykenevässä ohjelmistossa tarkistaa asiakirjan alkuperän ja aitoiden ennen makrojen suorittamista. OpenOffice.orgissa tätä auttaa edistyneiden varmennetekniikoiden käyttö.

OpenOffice.orgin kehitysyhteisö pitää tietoturvaa ensisijaisen tärkeänä ja ryhtyy välittömiin toimenpiteisiin saadessaan tietoturvaongelmia tietoonsa. Yleisen tietoturvakäytännön mukaan virustorjuntayrityksen olisi pitänyt raportoida virus OpenOffice.orgin tietoturvatiimille ennen tiedon julkaistamista. Valitettavasti näin ei tapahtunut. Voidakseen selvittää asiaa, OpenOffice.orgin tietoturvatiimi tarvitsee väitetyn viruksen lähdekoodin. Saatavilla olevan tiedon pohjalta on epätodennäköistä, että tämä uusi virus sisältäisi mitään sellaisia uusia tekniikoita, jotka vaatisivat korjausta ohjelmistoon. Kyseessä ei varsinaisesti ole edes "virus", sillä se ei kykene monistamaan itseään OpenOffice.orgin oletusasetuksilla, ilman käyttäjän suostumusta.

OpenOffice.orgin yhteisö kuitenkin toistaa tietoturva-asiantuntijoiden tärkeän ohjeen, että käyttäjän ei tulisi koskaan hyväksyä tiedostoja tuntemattomista lähteistä. Tietoturvakysymyksistä saa lisätietoja OpenOffice.orgin tietoturvatiimin sivuilta.

OpenOffice.orgin tietoturvaa analysoitiin (14.8.2006)

Ranskan puolustusministeriön tutkijat ovat löytäneet OpenOffice.orgin tietoturvakartoituksessa haavoittuvuuksia ja heikkouksia, joista osaa on kuvattu merkittäviksi. OpenOffice.org-kehitysyhteisö on toiminut puolustusministeriön kanssa yhteistyössä ongelmien korjaamiseksi.

Ranska kiinnittää tällä hetkellä suurta huomiota OpenOffice.orgiin, sekä erityisesti sen tukemaan avoimeen OpenDocument-asiakirjastandardiin. Ranskan julkishallinto on tehnyt merkittäviä siirtymisiä OpenOffice.orgin käyttäjiksi; esimerkiksi tänä vuonna Ranskan poliisi on ottanut OpenOffice.orgin käyttöön kaikissa 80 000 työasemassaan.

Tietoturva-analyysit ovat tärkeä osa ohjelmistokehitystä. Tietoturva-asiantuntijat katsovat, että avoimen lähdekoodin ohjelmistojen suurena vahvuutena on juuri tämä, että riippumattomia analyysejä on lähdekoodin avoimuuden vuoksi helppo tehdä. Suljetun lähdekoodin security-by-obscurity-lähestymistavan katsotaan olevan tietoturvan kannalta ongelmallisempi.

On korostettava, että OpenOffice.orgia pidetään löydetyistä haavoittuvuuksista huolimatta käytännön tasolla merkittävästi turvallisempana vaihtoehtona kuin esimerkiksi markkinajohtaja Microsoft Officea, jonka tietoturvareijille on tavattu huomattava määrä hyväksikäyttöä. Vaikka OpenOffice.org on toistaiseksi saanut olla hyökkäyksiltä rauhassa, on täytynyt valmistautua tilanteeseen, jossa siitä kehittyy johtava toimisto-ohjelmisto ja virusten kirjoittajien mielenkiinto alkaa kohdistua myös siihen. Siksi Ranskan puolustusministeriön tutkimuksen kaltaiset analyysit ovat erityisen arvokkaita panoksia OpenOffice.orgin kehitystyölle.

Tietoturvatutkimuksen alustavia tuloksia julkaistiin heinäkuussa ennenaikaisesti zdnet.fr-verkkolehdessä. OpenOffice.org-yhteisö ei ole katsonut asialliseksi kommentoida ennenaikaisesti tehdyn julkaisun yksityiskohtia. Jotkin artikkelissa mainitut seikat ja päätelmät olivat virheellisiä; artikkelissa haastateltu everstiluutnantti Eric Filiol on korjannut virheitä lehden keskustelupalstalla.

OpenOffice.orgin kehitysyhteisö pitää tietoturvaa ensisijaisen tärkeänä ja ryhtyy välittömiin toimenpiteisiin saadessaan tietoturvaongelmia tietoonsa.

Haavoittuvuus Doc-asiakirjojen käytössä (18.4.2005)

OpenOffice.org-ohjelmiston versiosta 1.1.4 on löytynyt haavoittuvuus Microsoft Word -asiakirjojen latauksessa. Haavoittuvuus saattaa mahdollistaa mielivaltaisten komentojen suorittamisen käyttäjän tietokoneella, mikäli hän avaa Microsoft Word -asiakirjan, joka sisältää hyväksikäyttökoodin.

Haavoittuvuuteen on julkaistu ohjelmakorjaus (englanniksi).

• libsot645li.so - Linux (Intel)
• sot645mi.dll - Windows (Intel)
• libsot645si.so - Solaris (Intel)
• libsot645ss.so - Solaris (Sparc)
• libsot645mxp.dylib - Mac OS X

Korjauksen voi asentaa kopioimalla sen OpenOffice.orgin asennuskansion program-alikansioon vanhan tiedoston päälle. Vanha versio tiedostosta voi olla hyödyllistä tallentaa ennen korjauksen asentamista.

Huomautus! Saattaa olla, että korjaus ei ole binääriyhteensopiva suomenkielisen ohjelmaversion kanssa kaikissa ympäristöissä, jolloin OpenOffice.org saattaa lakata toimimasta.

Tulemme mahdollisesti julkaisemaan erillisen päivityksen suomenkielisestä versiosta, mikäli tämä päivitys aiheuttaa ongelmia.

Lisätietoja:

• CERT-FI:n tietoturvaloukkausten havainnot (Viestintävirasto)
• Security Patch for OpenOffice.org 1.1.4 (OpenOffice.org)
• Issue 46388 (OpenOffice.org IssueZilla)