Хакеры в панике: немецкий LibreOffice становится неприступным
Германия объявляет войну уязвимостям в офисном программном обеспечении.
Федеральное ведомство по безопасности в области информационных технологий Германии (BSI) представило новые меры для повышения безопасности популярного офисного пакета LibreOffice. В свете растущих кибератак на офисные программы, BSI инициировало проект, направленный на защиту пользователей этого бесплатного программного обеспечения.
Офисные приложения, такие как текстовые редакторы, таблицы и программы для презентаций, широко используются как в корпоративной среде, так и среди частных пользователей. Из-за их распространённости и уязвимостей они часто становятся целью для злоумышленников. Например, хакеры могут использовать устаревшие экземпляры офисных приложений для эксплуатации недостатков безопасности, запускать вредоносные макросы, встроенные в документы, и т.п.
Так как Германия в последние годы старается полностью перейти на бесплатный софт с открытым исходным кодом, в большинстве государственных учреждений страны используется именно офисный пакет LibreOffice.
В рамках проекта, стартовавшего в сентябре 2023 года, были проведены значительные улучшения безопасности LibreOffice. Одним из ключевых нововведений стала принудительная настройка автоматических обновлений, что обеспечивает оперативную установку всех важных патчей безопасности.
Для дополнительного повышения безопасности в LibreOffice были отключены все небезопасные сетевые протоколы, такие как HTTP, SMTP и FTP, а также функции с активными элементами, включая DDE-команды, макросы, LibreLogo-скрипты и OLE-объекты. Кроме того, доступ к экспертным настройкам был ограничен, что позволит избежать случайных (а может и намеренных) изменений критических параметров.
Проект также включает внедрение современных алгоритмов шифрования документов, что значительно повышает безопасность хранения и обмена информацией. Кроме того, в ходе работ была проверена возможность использования крупных языковых моделей (LLM) для анализа кода, что может стать дополнительным инструментом для обеспечения безопасности в будущем.
В эпоху цифровизации защита информационных систем становится не просто технической задачей, а важнейшим элементом национальной безопасности. Инициативы по укреплению кибербезопасности демонстрируют, что государства осознают свою ответственность за создание безопасной цифровой среды для граждан и организаций.