Veilig tekstverwerken kan alleen met OpenOffice.org
Niet één, niet twee, maar drie zero-day lekken werden er binnen twee weken tijd in Microsoft's Office software gevonden. En het is niet de eerste keer dat men een beveiligingslek in Word en Excel aantreft. Dit jaar kende een recordaantal lekken in Office, Microsoft bracht maar liefst 33 updates uit. In de meeste gevallen ging het om een ernstige kwetsbaarheid waardoor een aanvaller het systeem kan overnemen.
Het probleem met exploits voor Microsoft Office, is dat ze zeer gericht worden ingezet. In tegenstelling tot wormen, spyware en andere malware die via bekende lekken verspreid worden, gebruikt een aanvaller een onbekend lek in Word of Excel om vertrouwelijke informatie van één bepaald bedrijf te stelen. Elk Office document is hierdoor een potentiele landmijn geworden, wachtend tot een nietsvermoedend slachtoffer het opent.
Bijkomend probleem is dat veel Office versies niet door hun gebruikers worden geupdate, en dat het upgraden naar een nieuwe versie veel geld kost. Problemen die open source concurrent OpenOffice.org niet kent. Niet alleen is de software gratis, hij is ook nog eens veilig. In 2006 is er slechts één advisory verschenen voor drie lekken, die in alle gevallen niet zo eenvoudig te misbruiken waren als door het openen van een kwaadaardig .doc of .xls bestand zoals bij Office het geval is.
Een ander punt is dat aanvallers zich richten op lekken in veel gebruikte software, en net als met Internet Explorer op de browsermarkt, is Office de onbetwiste nummer één wat betreft kantoorsoftware, maar daardoor ook het favoriete doelwit van menig hacker. Onze stelling luidt derhalve:
Veilig tekstverwerken kan alleen met OpenOffice.org
in gevonden worden zegt niets over de veiligheid van de
software. Er wordt weinig gewerkt met Open Office op
bedrijven, dus het logisch dat er minder aandacht aan
besteedt wordt.
Maar ik ben van mening dat open office wel veiliger is,
gezien het open source is en daarom vulnerabilities snel
verholpen worden (in tegenstelling tot microsoft die weer
eens maanden op zich laat wachten).
gevonden was.
Lijkt mij een betere stelling.
Veilig tekstverwerken kan alleen met VI.
Lijkt mij een betere stelling.
zag vandaag een bericht staan dat een Word Exploit ook in
open office 2.1
gevonden was.
aanpassingen in het document om de exploit mogelijk te
maken. Nadat OpenOffice gecrashed was, repareert hij
zichzelf en het document.
gebruikers dan ook veiligheidslekken? Voor zover ik weet, worden dit soort
lekken meestal gevonden door allerlei gespecialiseerde bedrijven en niet
door al die extra gebruikers. Dus maakt het aantal gebruikers weinig tot
niets uit.
Daarnaast zegt de veiligheidsgeschiedenis van een product iets over de
algemene veiligheid. En sommige producten zijn ronduit slecht. Zaken als
ontwerp en kwaliteit van de code, hebben hier alles mee te maken. Dus
verschillende software met hetzelfde doel, is niet vanzelf even veilig of
onveilig.
Zolang er in OOo minder fouten zitten dan in MSO, is OOo veiliger.
Zo moeilijk is dat toch niet?
Veilig tekstverwerken kan alleen met VI.
Lijkt mij een betere stelling.
Wat als iemand nou je papiertje verscheurd, niet echt veilig. Dan moet je
het papier weer in een doosje doen maarja dat kan verbranden dus moet
het in een brandveiligdoos etc etc etc.
Er zitten altijd wel lekken in software. er bestaat geen software die 100%
lekvrij is....
Wat als iemand nou je papiertje verscheurd, niet echt
veilig. Dan moet je
het papier weer in een doosje doen maarja dat kan verbranden
dus moet
het in een brandveiligdoos etc etc etc.
veilige plek opbergt, kan er niets gebeuren. Zullen we het
een backup noemen ? :-)
linux. Maar globaal is OOo wel een stukje veiliger vooral
omdat het voornamelijk uit XML bestaat.
Veilig tekstverwerken kan alleen met VI.
Lijkt mij een betere stelling.
Zelfs daar niet. Want als jij je brief op de post doet en
vervolgens een postbode met jouw brief aan de haal gaat....
Veilig tekstverwerken kan alleen met VI.
Lijkt mij een betere stelling.
Of met Emacs
(dan keilen we deze discussie ook weer es vrolijk aan...)
Veilig tekstverwerken kan alleen met VI.
Lijkt mij een betere stelling.
worden gebruikt, als de applicatie goed is afgeschermd van het OS en werkt
met goed geconfigureerde en gefilterde netwerkverbindingen kan een hoop
ellende voorkomen worden.
uit.
Indirect wel: een pakket dat meer gebruikt wordt is immers
een aantrekkelijker doel voor aanvallers.
Ik denk niet dat OO.o minder (of meer) bugs en/of
security-issues zal zal kennen. Ik heb er wel meer
vertrouwen in dat op een security-issue in OO.o bijtijds en
adequaat wordt gereageerd.
immers een aantrekkelijker doel voor aanvallers.
hangt ook weer af van de kwetsbaarheid.
Ik zal niet zeggen dat er geen computercriminaliteit zou
bestaan, maar de toestand van nu was misschien nooit zo
ernstig geweest, als vroeger de destijds populairste
software (DOS, Windows 9x) wel veilig(er) ontworpen was.
(paranoia gezien). Want als ik een weet dat er belangrijke
informatie op jou papiertje staat kom ik er zeker wel aan.
Maakt niet uit hoe. Ik kan het kopieren. Ik kan het
overschrijven. Ik kan het stelen. Ik kan het lezen. Er is
dus altijd een mogenlijkheid om aan iets te komen. Dus
waneer je dit doet met office of open office of met pen en
papier het zal nooit veilig zijn.
ps: Dit was ook al zo voordat er computers waren.
uit.
Indirect wel: een pakket dat meer gebruikt wordt is immers
een aantrekkelijker doel voor aanvallers.
Onzin. 3D software heeft nooit een grote gebruikersgroep
gehad, maar die software werd 10 jaar geleden (op SGI
workstations) al regelmatig gekraakt.
Het is een combinatie van brakke software met een grote
gebruikersgroep. En criminelen die misbruik willen maken van
die situatie.
NEEEEE. Emacs, Emacs !!! :)
NEEE, echo "blabla" >> filenaam :-) Da's pas echt veilig ...
alhoewel ... een shell kan natuurlijk ook fouten bevatten ....
Ik werk sowieso altijd in notepad -> windows, en leafpad ->
linux. Maar globaal is OOo wel een stukje veiliger vooral
omdat het voornamelijk uit XML bestaat.
Verklaar u nader? Wat heeft XML met veiligheid te maken?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
