Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Piaskownica w MS Office 2010

Recommended Posts

Microsoft informuje, że najnowsza wersja pakietu MS Office będzie korzystała z technologii "piaskownicy" (sandbox). Tym samym koncern przyznał, że nie jest w stanie powstrzymać cyberprzestępców przed wykorzystywaniem błędów w swoim oprogramowaniu.

Analityk John Pescatore przypomina, że w ciągu ostatnich 18 miesięcy przestępcy wykorzystywali technologię "fuzzlingu", czyli umieszczania za pomocą automatycznych narzędzi swojego kodu w MS Office i szukania w ten sposób błędow. Źli faceci używają fuzzlingu, by znaleźć błędy w Office, a Microsoft teraz stwierdził: 'Ok, nie jesteśmy w stanie znaleźć i załatać wszystkich luk. Więc postanowiliśmy użyć piaskownicy, by je odizolować - mowi Pescatore.

Sandbox pozwoli odizolować pliki tak, że nie będa one miały dostępu do innych plików i aplikacji. Jeśli nawet użytkownik uruchomi złośliwy spreparowany plik, to nie powinien on wyrządzić większych szkód.
Z jednej strony technika sandbox powinna lepiej zabezpieczać użytkownika, z drugiej jednak, jako że jest to pewien rodzaj wirtualnej maszyny, będzie zużywała zasoby komputera.

Share this post


Link to post
Share on other sites
Analityk John Pescatore przypomina, że w ciągu ostatnich 18 miesięcy przestępcy wykorzystywali technologię "fuzzlingu", czyli umieszczania za pomocą automatycznych narzędzi swojego kodu w MS Office i szukania w ten sposób błędow.

 

Ciekawe czemu cyberprzestępcy nie chcą skoncentrować swoich ataków na pakiecie OpenOffice - darmowy, więc prędzej czy później znajdzie się na porównywalnej ilości komputerów co Ms Office (no chyba że mówimy o torrent edition). GPL czyli nie trzeba najpierw bawić się z deasemblerem...

Większe zainteresowanie przestępców pakietem Ms Office budzi podejrzenie, że pakiet jest dziurawy jak ser szwajcarski głównie dzięki błędom założeniowym twórców.

Share this post


Link to post
Share on other sites

Ciekawe czemu cyberprzestępcy nie chcą skoncentrować swoich ataków na pakiecie OpenOffice

 

Jeśli twoją firmę nie stać na Office'a (w domyśle - razem z serwerem exchange i innymi korporacyjnymi bajerami) to raczej nie jesteś zbyt cennym łupem dla złych ludzików.

Share this post


Link to post
Share on other sites

Większe zainteresowanie przestępców pakietem Ms Office budzi podejrzenie, że pakiet jest dziurawy jak ser szwajcarski głównie dzięki błędom założeniowym twórców.

Nie , twoje przemyślenia są złe. Jest większe zainteresowanie bo jest to produkt najbardziej popularny wśród firm, a więc taki który warto atakować, podobnie jest z windowsem, gdyby openoffice, czy linux miały 50% rynku to też byłyby w centrum ataków równie często jak win czy ms office.

Share this post


Link to post
Share on other sites

Tyle, że numery kart kredytowych szybciej wyciągniecie od użytkownika domowego niż od firmy. Kradzież poufnych danych z firmy to grubszy kaliber, który jest wyciągany na zamówienie a nie na chybił trafił. Może i Openoffice jeszcze nie ma 50% rynku, ale podejrzewam, że pod względem popularności jest na 2 miejscu, za Ms Office, który jest w domu niepotrzebny.

Share this post


Link to post
Share on other sites
Tyle' date=' że numery kart kredytowych szybciej wyciągniecie od użytkownika domowego niż od firmy. Kradzież poufnych danych z firmy to grubszy kaliber, który jest wyciągany na zamówienie a nie na chybił trafił. Może i Openoffice jeszcze nie ma 50% rynku, ale podejrzewam, że pod względem popularności jest na 2 miejscu, za Ms Office, który jest w domu niepotrzebny.[/quote']

 

Po czym wnosisz? sugerujesz, ze uzytkownik korporacyjny jest madrzejszy od domowego? Rzeczywistosc jest znacznie gorsza - uzytkownicy korporacyjni to takze uzytkownicy domowi i maja paskudne nawyki i przyzwyczajenia, nierzadko "po prostu chca wykonac dana prace" i robia to byle jak, bez dbalosci o bezpieczenstwo informacji; a maszyna glupoty ludzkiej nie powstrzyma. Powyzsze czynniki skladaja sie na obraz szerzacych sie infekcji zarowno po stronie uzytkownikow domowych, jak i wielkich korporacji.

Share this post


Link to post
Share on other sites

Strzelam że chodziło o to że korporacje zatrudniają speców od zabezpieczeń, którzy zwiększają bezpieczeństwo "domowych" użytkowników/pracowników danej korporacji.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Apple złożyło wniosek patentowy na technologię, która umożliwia przechowywanie na urządzeniach peryferyjnych - od drukarek po zasilacze - danych koniecznych do odzyskania zapomnianych haseł. Rozwiązanie takie nieco utrudni życie samemu użytkownikowi, ponieważ gdy zapomni hasła, będzie mógł odzyskać je dopiero po podłączeniu oryginalnego zasilacza czy konkretnej drukarki, jednak znacznie utrudni życie ewentualnym złodziejom. Obecnie osoby kradnące laptopy interesują się tylko komputerem, pozostawiając np. w okradanym samochodzie, peryferia. Teraz odzyskanie hasła z ukradzionego sprzętu będzie trudniejsze bez posiadania tego peryferyjnego urządzenia, które zostało wybrane jako dodatkowe zabezpieczenie.
      Gdy zapomnimy hasła, system zaproponuje nam podłączenie urządzenia peryferyjnego, na którym jest ono przechowywane. Po jego podłączeniu i weryfikacji zaproponuje reset hasła i ustawienie nowego.
      Równie prosta ma być konfiguracja. Przy pierwszym ustawieniu hasła system poprosi nas o wybór urządzenia peryferyjnego, na którym mają być przechowywane dane potrzebne do jego odzyskania.
    • By KopalniaWiedzy.pl
      Organizator hackerskiego konkursu Pwn2Own przewiduje, że Google Chrome przetrwa pierwszy dzień, a jego zabezpieczenia zostaną przełamanie nie wcześniej niż w drugim dniu zawodów, po zmianie zasad.
      Jestem pewien, że większość, jeśli nie wszystkie, przeglądarki zostaną złamane. Podejrzewam, że IE, Firefox i Safari padną ofiarami ataków, ale Chrome nie, nie w pierwszym dniu - stwierdził Aaron Portnoy, menedżer ds. bezpieczeństwa w TippingPoint.
      Chrome oprze się atakom i być może w ogóle nie padnie ofiarą hakerów, gdyż jako jedyna z przeglądarek korzysta z piaskownicy. Piaskownica (sandbox) izoluje poszczególne procesy, co oznacza, że aby przejąć kontrolę nad programem go wykorzystującym trzeba znaleźć nie jedną, a dwie dziury. Pierwszą, która pozwoli na wyjście poza piaskownicę i drugą, umożliwiającą złamanie zabezpieczeń samej przeglądarki.
      W pierwszym dniu konkursu uczestnicy będą mogli atakować przeglądarki tylko i wyłącznie za pomocą dziur w nich samych. W drugim i trzecim, będą mogli wykorzystywać dziury w innym oprogramowaniu, na przykład w systemie operacyjnym, by dostać się do przeglądarki.
      Przypomnijmy, że Google zaoferowało 20 000 USD za przełamanie zabezpieczeń Chrome'a. Ta oferta, jak przyznają organizatorzy konkursu, spowodowała, że Chrome został w ogóle uwzględniony w konkursie. Nie mieliśmy zamiaru włączać go do konkursu, gdyż już mamy w nim przeglądarkę działającą na silniku WebKit - mówi Portnoy. Przeglądarką tą jest Safari.
      Mimo, że atakując Chrome można wygrać więcej pieniędzy, Portnoy spodziewa się, że uczestnicy skupią się na Safari, gdyż działa ona na mniej zabezpieczonym systemie operacyjnym i nie korzysta z piaskownicy.
    • By KopalniaWiedzy.pl
      Twórca projektu grsecurity, Brad Spengler, ostrzega, że większość z zastosowanych w Linuksie mechanizmów kontroli uprawnień może zostać wykorzystana przez napastnika do przełamania zabezpieczeń systemu. Filozofia bezpieczeństwa w Linuksie opiera się w olbrzymiej mierze na ścisłej kontroli dostępu do usług, procesów i zasobów. Z jednej strony pozwala to ograniczyć uprawnienia poszczególnych użytkowników do rzeczywiście potrzebnych im do pracy, a z drugiej - w przypadku ataku zmniejsza rozmiary szkód, gdyż np. narzędzie, które udało się wykorzystać napastnikowi do konkretnych działań, nie będzie miało uprawnień do wykonania innych komend lub uzyskania dostępu innych zasobów.
      Spengler przetestował 35 linuksowych mechanizmów pod kątem wykorzystania ich podczas przeprowadzanego ataku. Odkrył, że 21 z nich może pozwolić napastnikowi na zwiększenie uprawnień w systemie lub inny sposób nim manipulować.
      Jednym z takich mechanizmów jest CAP_SYS_ADMIN, który umożliwia podmontowywanie i odmontowywanie systemu plików. Potencjalnie pozwala on napastnikowi na podmontowanie własnego systemu plików nad istniejącym i zastąpienie zainstalowanych programów dowolnym kodem. Spengler mówi, że za pomocą CAP_SYS_ADMIN można też przekierowywać pakiety na firewallu, a zatem napastnik ma możliwość przekierowania połączeń sshd na dowolny serwer i kradzież haseł oraz nazw użytkownika, co pozwoli na logowanie się do systemu na prawach administratora.
      Praca Spenglera nie oznacza, że Linux jest systemem szczególnie niebezpiecznym. Większość opisanych przez niego scenariuszy ataków jest możliwa do przeprowadzenia jedynie w bardzo specyficznych warunkach lub też wymaga fizycznego dostępu do atakowanego systemu.
    • By KopalniaWiedzy.pl
      Współczesne banknoty mają dziesiątki zabezpieczeń przed ich fałszowaniem. Uczeni z Niemiec i Japonii zaprezentowali właśnie technikę, która umożliwi opracowanie całkowicie nowych sposobów zabezpieczania. Umieścili oni mianowicie układy logiczne na banknotach.
      Na dolary, franki szwajcarskie, jeny i euro naniesiono ostrożnie złoto, tlenek glinu oraz organiczne molekuły, tworząc w ten sposób tranzystory i proste obwody. Co ważne, dokonano tego, jak stwierdził Ute Zschieschang z Instytutu Maksa Plancka, bez użycia agresywnych chemikaliów i wysokich temperatur, które mogłyby zniszczyć powierzchnię banknotu. Takie proste tranzystory cienkowarstwowe (TFT) mają grubość zaledwie 250 nanometrów i pracują przy napięciu 3 woltów. Prąd o tak niskim napięciu może być dostarczany do banknotów bezprzewodowo, za pomocą zewnętrznych czytników, podobnych do tych, które zbierają dane z tagów RFID.
      Przeprowadzono już pierwsze testy, które wykazały, że wspomniane obwody mogą przeprowadzać proste operacje obliczeniowe. Specjaliści zastanawiają się teraz, w jaki sposób wykorzystać je do zabezpieczenia banknotów.
    • By KopalniaWiedzy.pl
      Dzień przed oficjalną premierą pakietu MS Office 2010 dla klientów indywidulanych partnerzy Microsoftu na własną rękę zaproponowali obniżki. Koncern z Redmond nie ma zamiaru promować w ten sposób swojego oprogramowania, jednak jego partnerzy mają w tym zakresie wolną rękę.
      Na Amazonie Office 2010 Home and Student można kupić za 129,99 USD, czyli o 20 dolarów taniej, niż standardowa cena. Taką samą ofertę można znaleźć w serwisie Newegg.
      Jeszcze większe rabaty, bo 40-dolarowe, zaoferował Amazon na Office 2010 Home and Business oraz Professional. Obie wersje można nabyć, odpowiednio, za 239,99 i 459,99* USD. Takie same ceny proponuje Newegg.
      Obniżeniu uległy też ceny na tzw. "karty z kluczem". To nowy pomysł Microsoftu na sprzedaż licencji Office'a. Użytkownik może kupić kartę z kluczem aktywacyjnym, który wykorzysta do zaktualizowania starszej wersji pakietu lub też uruchomienia jako pełnej edycji wersji próbnej czy kopii pobranej z witryny Microsoftu. "Key card" umożliwia też zaktualizowanie Office Starter do pełnej wersji. Karta pozwalająca na aktualizację do Home and Student kosztuje 119 USD, ta dla Home and Business została wyceniona na 199 dolarów, a za Professional trzeba zapłacić 349 USD.
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...