Tietoturva, BadBunny-virus ja makrot (28.5.2007)
Virustorjuntayritys Sophos
on äskettäin julkaissut tiedotteen OpenOffice.orgia käyttävästä
"SB/BadBunny-A"-viruksesta. Asiasta on myös julkaistu uutisia useilla
uutissivustoilla.
Makrot ovat toimisto-ohjelmistojen käyttökelpoinen toiminnallisuus,
joiden avulla käyttäjät voidat automatisoida tehtäviä. Nämä tehtävät
voivat sisältää voimakkaita toimia, kuten tiedostojen tuhoamista ja
poistamista, jotka tekevät makroista mielenkiintoisia virusten
tekijöille.
Millä tahansa käyttökelpoisella makrokielellä on siksi mahdollista
kirjoittaa "viruksen kaltaisia" ohjelmia. OpenOffice.org seuraa
parhaita tietoturvakäytäntöjä vaaran minimoimiseksi. Jos ohjelmisto
havaitsee avattavassa asiakirjassa makroja, se näyttää varoituksen ja
suostuu suorittamaan makron vain, jos käyttäjä niin erityisesti
haluaa. On erittäin tärkeää, että käyttäjä missä tahansa makrojen
suoritukseen kykenevässä ohjelmistossa tarkistaa asiakirjan alkuperän
ja aitoiden ennen makrojen suorittamista. OpenOffice.orgissa tätä
auttaa edistyneiden varmennetekniikoiden käyttö.
OpenOffice.orgin kehitysyhteisö pitää tietoturvaa ensisijaisen
tärkeänä ja ryhtyy välittömiin toimenpiteisiin saadessaan
tietoturvaongelmia tietoonsa. Yleisen tietoturvakäytännön mukaan
virustorjuntayrityksen olisi pitänyt raportoida virus OpenOffice.orgin
tietoturvatiimille ennen tiedon julkaistamista. Valitettavasti näin ei
tapahtunut. Voidakseen selvittää asiaa, OpenOffice.orgin
tietoturvatiimi tarvitsee väitetyn viruksen lähdekoodin. Saatavilla
olevan tiedon pohjalta on epätodennäköistä, että tämä uusi virus
sisältäisi mitään sellaisia uusia tekniikoita, jotka vaatisivat
korjausta ohjelmistoon. Kyseessä ei varsinaisesti ole edes "virus",
sillä se ei kykene monistamaan itseään OpenOffice.orgin
oletusasetuksilla, ilman käyttäjän suostumusta.
OpenOffice.orgin yhteisö kuitenkin toistaa
tietoturva-asiantuntijoiden tärkeän ohjeen, että käyttäjän ei tulisi
koskaan hyväksyä tiedostoja tuntemattomista
lähteistä. Tietoturvakysymyksistä saa lisätietoja OpenOffice.orgin tietoturvatiimin
sivuilta.
OpenOffice.orgin tietoturvaa analysoitiin (14.8.2006)
Ranskan puolustusministeriön tutkijat ovat löytäneet
OpenOffice.orgin tietoturvakartoituksessa haavoittuvuuksia ja
heikkouksia, joista osaa on kuvattu
merkittäviksi. OpenOffice.org-kehitysyhteisö on toiminut
puolustusministeriön kanssa yhteistyössä ongelmien korjaamiseksi.
Ranska kiinnittää tällä hetkellä suurta huomiota OpenOffice.orgiin,
sekä erityisesti sen tukemaan avoimeen OpenDocument-asiakirjastandardiin. Ranskan
julkishallinto on tehnyt merkittäviä siirtymisiä OpenOffice.orgin
käyttäjiksi; esimerkiksi tänä vuonna Ranskan poliisi on ottanut
OpenOffice.orgin käyttöön kaikissa 80 000 työasemassaan.
Tietoturva-analyysit ovat tärkeä osa
ohjelmistokehitystä. Tietoturva-asiantuntijat katsovat, että avoimen
lähdekoodin ohjelmistojen suurena vahvuutena on juuri tämä, että
riippumattomia analyysejä on lähdekoodin avoimuuden vuoksi helppo
tehdä. Suljetun lähdekoodin security-by-obscurity-lähestymistavan
katsotaan olevan tietoturvan kannalta ongelmallisempi.
On korostettava, että OpenOffice.orgia pidetään löydetyistä
haavoittuvuuksista huolimatta käytännön tasolla merkittävästi
turvallisempana vaihtoehtona kuin esimerkiksi markkinajohtaja
Microsoft Officea, jonka tietoturvareijille on tavattu huomattava
määrä hyväksikäyttöä. Vaikka OpenOffice.org on toistaiseksi saanut
olla hyökkäyksiltä rauhassa, on täytynyt valmistautua tilanteeseen,
jossa siitä kehittyy johtava toimisto-ohjelmisto ja virusten
kirjoittajien mielenkiinto alkaa kohdistua myös siihen. Siksi Ranskan
puolustusministeriön tutkimuksen kaltaiset analyysit ovat erityisen
arvokkaita panoksia OpenOffice.orgin kehitystyölle.
Tietoturvatutkimuksen alustavia tuloksia julkaistiin heinäkuussa
ennenaikaisesti zdnet.fr-verkkolehdessä. OpenOffice.org-yhteisö
ei ole katsonut asialliseksi kommentoida ennenaikaisesti tehdyn
julkaisun yksityiskohtia. Jotkin artikkelissa mainitut seikat ja
päätelmät olivat virheellisiä; artikkelissa haastateltu
everstiluutnantti Eric Filiol on korjannut virheitä lehden
keskustelupalstalla.
OpenOffice.orgin kehitysyhteisö pitää tietoturvaa ensisijaisen
tärkeänä ja ryhtyy välittömiin toimenpiteisiin saadessaan
tietoturvaongelmia tietoonsa.
Haavoittuvuus Doc-asiakirjojen käytössä (18.4.2005)
OpenOffice.org-ohjelmiston versiosta 1.1.4 on löytynyt
haavoittuvuus Microsoft Word -asiakirjojen latauksessa. Haavoittuvuus
saattaa mahdollistaa mielivaltaisten komentojen suorittamisen
käyttäjän tietokoneella, mikäli hän avaa Microsoft Word -asiakirjan,
joka sisältää hyväksikäyttökoodin.
Haavoittuvuuteen on julkaistu ohjelmakorjaus
(englanniksi).
Korjauksen voi asentaa kopioimalla sen OpenOffice.orgin
asennuskansion program-alikansioon vanhan tiedoston
päälle. Vanha versio tiedostosta voi olla hyödyllistä tallentaa ennen
korjauksen asentamista.
Huomautus! Saattaa olla, että korjaus ei ole binääriyhteensopiva
suomenkielisen ohjelmaversion kanssa kaikissa ympäristöissä, jolloin
OpenOffice.org saattaa lakata toimimasta.
Tulemme mahdollisesti julkaisemaan erillisen päivityksen
suomenkielisestä versiosta, mikäli tämä päivitys aiheuttaa
ongelmia.
Lisätietoja: