Microsoft paikkasi Officea

Kannattaa tutustua SUSE:ssa olevaan "AppShield" toimintoon, sillä voidaan rajata ohjelman käyttämät tiedostot ja mitä tiedostoille saa tehdä. Tällä tavalla jos vaikka OpenOfficessa olisi aukko joka mahdollistaisi kaikkien tiedostojen tuhoamisen scriptillä, ei se onnistuisi koska se ei pääse vaikuttamaan mihinkään tiedostoon kuin vain vaikka niihin työtiedostoihin. Tähän päälle vaikka päivittäiset/tunnittaiset varmuuskopiot vain toiseen hakemistoon ja tieto siitä että ohjelma ei niihin pääse käsiksi, ei scriptikään pääse.

Ja jotkut tietämättömät voivat elää uskossa että OpenSource on 100% takuu siitä että aukkoja ei löydy, mutta useampi elää siinä väärässä uskossa että ClosedSource on 100% takuu turvallisuudesta ja toiminnallisuudet. Ja vielä useampi uskoo että ilman varmuuskopioita on turvallista olla.

Linux ja KDE4 on mitä tarvitset tänää ja huomenna.

	Re: Kielto tiedostoihin anger, 20.3.2006 00:23:08	Pisteet: 0 Vastaa

Kannattaa tutustua SUSE:ssa olevaan "AppShield" toimintoon, sillä voidaan rajata ohjelman käyttämät tiedostot ja mitä tiedostoille saa tehdä. Tällä tavalla jos vaikka OpenOfficessa olisi aukko joka mahdollistaisi kaikkien tiedostojen tuhoamisen scriptillä, ei se onnistuisi koska se ei pääse vaikuttamaan mihinkään tiedostoon kuin vain vaikka niihin työtiedostoihin.

Itse kaipaisin käyttöjärjestelmiin enemmän sandboxin tyylistä ratkaisua. Eli ideana sama kuin mitä esim java-appletit ja zonealarm tekevät tänään: jokaisen ohjelman kohdalla varmistetaan erikseen että saahan se varmasti ottaa yhteyttä nettiin tai saako kajota tiedostoihin, tms.

Monihan noihin varmasti ruksaa vaan kyllä ajattelematta sen kummemmin olisiko kuitenkin kannattanut vastata ei, mutta antaisipa edes niille lopuille jonkinlaisen turvan huijausohjelmia yms. vastaan.

	Re: Kielto tiedostoihin Fri13, 18.3.2006 22:32:25	Pisteet: 0 Vastaa

Kannattaa tutustua SUSE:ssa olevaan "AppShield" toimintoon,

Korjaus: AppArmor eikä AppShield

Linux ja KDE4 on mitä tarvitset tänää ja huomenna.

	Re: Kielto tiedostoihin Fri13, 18.3.2006 22:50:31	Pisteet: 0 Vastaa

Kannattaa tutustua SUSE:ssa olevaan "AppShield" toimintoon,

Korjaus: AppArmor eikä AppShield

R - read
W - write
X - execute
U - unconfined
I - inherit
L - link
P - discrete profile

Tuollaiset tiedot voidaan asettaa ohjelmalle. Uuden ohjelman asetus tapahtuu siten että ensin valitaan se, sen jälkeen AppArmor pyytää käynnistämään ohjelman ja se katsoo mitä kaikkea ohjelma haluaa lukea, suorittaa, kirjoittaa jne. Sen jälkeen käyttäjä voi muuttaa oikeuksia että mitä muita ohjelmia ohjelma saa lukea, suorittaa tai kirjoittaa. Mitä tiedostoja lukea/kirjoittaa/suorittaa jne.

Mikäs vastaava on windowsissa tälle? Nimittäin olen törmännyt ohjelmiin jotka estävät ohjelmia asentamasta mitään itse tai muuttumasta, mutta niissä ei ole ollut sitä että mitä tiedostoja ohjelma saa käsitellä.

Linux ja KDE4 on mitä tarvitset tänää ja huomenna.

	Re: Kielto tiedostoihin weicco, 20.3.2006 09:03:01	Pisteet: 0 Vastaa

Mikäs vastaava on windowsissa tälle?

Ajat ohjelmaa rajoitetun käyttäjän oikeuksilla, jolloin se ei pääse käsiksi käyttöjärjestelmän tai muiden käyttäjien tiedostoihin. Lisäksi voit asettaa adminina esim. vain lukuoikeuden tiedostoon X käyttäjälle Y tai ryhmälle Z. En ole asiantuntija tällä alueella, mutta tuo pitäisi ainakin toimia.

Windowsille löytyi ainakin joskus myös sandbox-ratkaisuja, mutta en tiedä niiden toimivuudesta nykypäivänä. Periaatteessa moisen sandbox-ohjelman toteutus ei olisi hankala: tiedostojärjestelmään filtteriajuri ja sille käyttöliittymä/konfiguraattori. Ehkäpä jonkun sandbox-firman pitää haastaa MS oikeuteen, kun hommat ovat näinkin vaikeita :)

Join me! Together we can rule the galaxy as father and son.

	Re: Kielto tiedostoihin ksaunam, 20.3.2006 08:37:30	Pisteet: 0 Vastaa

Mikäs vastaava on windowsissa tälle? Nimittäin olen törmännyt ohjelmiin jotka estävät ohjelmia asentamasta mitään itse tai muuttumasta, mutta niissä ei ole ollut sitä että mitä tiedostoja ohjelma saa käsitellä.

Esim. RES:n PowerFuse http://www.res.nl/res/powerfuse.html) ja sen AppGuard -toiminnot.

The Register puhuu kyllä hyödyntämismenetelmistä MS06-011 eli oikeuksien kohottamisen mahdollistavalle Windows-aukolle. Haastateltu McAfeen edustaja pitää Office-exploitteja (MS06-012) todennäköisinä.

Office-koodejakin on nyt tehtailtu MikroPC:n uuden uutisen mukaan:
http://mikropc.net/uutiset/index.jsp?categoryId=at...

On se kumma kun toimitso-ohjelmienkin kanssa saa pelätä, että joku bugi niissä mahdollistaisi murtautumisen koneelle - jo on aikoja eletty. Noh, itselläni OpenOffice - josta on vaikea uskoa vastaavaa - on kuitenkin asetettu niin, ettei sillä pitäisi olla mitään yhteyttä verkkoon eikä verkosta pitäisi päästä sihen kiinni. Linux käyttäjällä minulla ei luonnollisesti M$ Officea edes ole, eikä olisi vaikka käyttäisin wintoosaa.

- Sir Robin * http://soul.fiveam.org/robsku/
! HackNBlog: http://salamanteri.homelinux.net/wordpress

	Re: weicco, 17.3.2006 08:52:39	Pisteet: 0 Vastaa

On se kumma kun toimitso-ohjelmienkin kanssa saa pelätä, että joku bugi niissä mahdollistaisi murtautumisen koneelle - jo on aikoja eletty. Noh, itselläni OpenOffice - josta on vaikea uskoa vastaavaa -

Monet ovat eläneet uskossa, että Open Source tuotteet suojaavat tietomurroilta, vaan toisin on käynyt.

on kuitenkin asetettu niin, ettei sillä pitäisi olla mitään yhteyttä verkkoon eikä verkosta pitäisi päästä sihen kiinni.

Ei MS Officeenkaan päästä mitenkään verkosta kiinni, eikä se ota yhteyksiä verkkoon itsessään, mutta toki voi kirjoittaa VBA skriptin, joka ottaa yhteyksiä puoleen maailmaan.

Linux käyttäjällä minulla ei luonnollisesti M$ Officea edes ole, eikä olisi vaikka käyttäisin wintoosaa.

S kirjaimessasi on vikaa.

Lisäksi jos taas lukisimme security bulletinia:

"On vulnerable versions of Office, if a user is logged on with administrative user rights"

Eli ajellaan niitä koneita vieläkin niillä user-tunnuksilla, ei admineina. Onnistuu vallan mainiosti, olen tehnyt niin jo jokusen ajan. Jos välttämättä haluaa käynnistää jotain toisen käyttäjän oikeuksilla, valitaan ko. ohjelma ja oikean hiirennapin takaa Run as.

Join me! Together we can rule the galaxy as father and son.

	Re: Buzer, 18.3.2006 20:29:00	Pisteet: 0 Vastaa

Lisäksi jos taas lukisimme security bulletinia: "On vulnerable versions of Office, if a user is logged on with administrative user rights"
Eli ajellaan niitä koneita vieläkin niillä user-tunnuksilla, ei admineina. Onnistuu vallan mainiosti, olen tehnyt niin jo jokusen ajan. Jos välttämättä haluaa käynnistää jotain toisen käyttäjän oikeuksilla, valitaan ko. ohjelma ja oikean hiirennapin takaa Run as.

Miten se nyt taas menikään, ei haittaa jos pystyy käyttäjän tiedostot tuhoamaan kunhan ei koske käyttöjärjestelmän tiedostoihin? Ainiin, tämä pätee vain Windowsiin. Muissa järjestelmissähän ne käyttäjän tiedostot olivat tärkeämpiä...

	Re: weicco, 20.3.2006 08:58:02	Pisteet: 0 Vastaa

Miten se nyt taas menikään, ei haittaa jos pystyy käyttäjän tiedostot tuhoamaan kunhan ei koske käyttöjärjestelmän tiedostoihin?

Olet aivan oikeassa.

Join me! Together we can rule the galaxy as father and son.

	Re: Saltsa, 18.3.2006 11:09:29	Pisteet: 0 Vastaa

Noh, itselläni OpenOffice - josta on vaikea uskoa vastaavaa - on kuitenkin asetettu niin, ettei sillä pitäisi olla mitään yhteyttä verkkoon eikä verkosta pitäisi päästä sihen kiinni. Linux käyttäjällä

Miten olet linuxissa palomuurilla estänyt openofficen pääsyn verkkoon? Ilmeisesti se ei iptables:lla ihan suoraan onnistu. Ja ei varmaan ms officenkaan kautta ihan helposti koneelle murtauduta, jos ottaa scriptit ym. pois käytöstä.

Microsoft paikkasi Officea

Microsoftilta päivitys WMF-haavoittuvuuteen

Microsoftilta korjauksia uusiin haavoittuvuuksiin

StarOffice saamassa jalansijaa markkinoilla?

Office-päivitys kannattaa tehdä ajoissa

Microsoftilta Media Player Linuxille

Kommentoi juttua