BadBunny-A worm

LibreOffice, OpenOffice.org

Tegnapelőtt a Sophos biztonsági cég egy figyelmeztetést tett közzé a weblapján, hogy beküldtek hozzájuk egy OpenOffice.org-ot kihasználó worm-ot. A neve BadBunny-A lett. A hírt azóta egy csomó site átvette, a Google jópár találatot ad már a BadBunny-A keresésre.

A lényeg: a felhasználó kap egy badbunny.odg fájt. Ha ezt megnyitja, és egyetért azzal, hogy a beépített makró lefusson, akkor egy "nyúljelmezbe öltözött férfi illetlenül viselkedik az erdőben" témájú JPG-t tölt le a netről, ezen kívül az operációs rendszertől függően egyéb, önsokszorozásra képes kódokat indít el.

A kódot egyelőre még nem adta át a Sophos az OOo projekt biztonsági csoportjának. Első ránézésre nincs semmi szenzáció, a makró futtatásával egyet kell érteni, így a worm csak emberi segítséggel terjedhet. Sajnos az internetes sajtó jól felfújta a sztorit, azt a látszatot keltve, mintha a BadBunny-A komoly biztonsági problémát jelentene az OOo felhasználóira.

( joco01 v | 2007. 05. 23., sze – 17:23 )

Túl sokan istenítik annyira a Linuxot, hogy a nem advanced usereknek is ezt ajánlják, vagy akár ráerőltetik. Ez bizony tényleg komoly fenyegetés lehet :( Sokan hiszik azt, hogy a világot váltják meg, ha terjesztik a free software-t, de hátrányai is vannak, felhígul a dolog, ha mindenki tetszését ki akarjuk váltani.

--
joco voltam szevasz

Az user az user, bármerre is megy majd a világ. Alapvető biztonsági dolgokat neki is meg kell tanulni, amiket az életben is megtanult: Nem hagyja nyitva a lakásajtót, Nem teszi jól látható helyre a tárcát, mobilt. Ugyanígy az informatikában is van pár egyszerű szabály, amit ha betartanak sokkal kevesebb baj lenne.

A felhígulról meg a régiség jutott eszembe:

"Manapság egyre több informatikusnak van nemi élete.
Hígul a szakma..."

;o)

KAMI
--
OpenOffice.org | A Böngésző - magyarul | Kiterjesztések - magyarul

Szerintem nem tévedt el. Ez annyira szól a linuxról, mint az OOo-ról. Mert ha a user, "Én nem akarok mindig jelszót irkálni" típus és root-ként van bent akkor bármilyen script lefuthat és terjedhet. Win alatt is több vírus nem futna ha nem mindenki adminként használná a gépet. Bár ezt nem lehet nehéz megkerülni. De a tényen nem változtat semmit. Hígul a felhasználói réteg. Öcsém is használja bár igaz csak netezik, meg msn, skype, de én tartom karban a gépét. Vagyis nem is tartom karban, mert nem kell. Időnként frissítem, de semmi vírus, meg ilyen vackok, meg nincsenek fagyások. Ha én használom a gépet az user nevével amikor visszaül az első kérdése,hogy bezárhatja-e a konzolt. :) Nekem meg az az alap, hogy mindig fut.

Én abból indultam ki, hogy ha egy modern suli rendszergazda terjeszteni akarja az igét, leginkább Linuxot szokás feltenni, mondjuk UHUt vagy mittudomén. Vagy ha a titkárnő gépét fejleszteni kell, akkor valami Linuxot raknak rá, például Ubuntut, mert egyszerű, vagy ilyesmi. Meg úgy egyébként is, szerintem a Linux a (-z egyik?) legelterjedtebb nyílt oprendszer. És ezek az userek lazán rákattintanak arra, hogy fusson le a makró. Igen, ők Windowson is rákattintanak, az a baj, hogy ezek ugyanazok az emberek, ők azok, akiknek kár Linuxot adni a kezükbe, és miattuk fog a Linux hírneve csökkenni, hígulni a felhasználói csoport. Ha valaki általános iskolásoknak OpenBSD-t tanít, az meg az OpenBSD-nek fog rosszul esni (szintén nem közvetlenül, hanem sajtóhírek meg stb., a laikusok lesznek félrevezetve), csak az OpenBSD kevésbé oktatási anyag. Szóval a jelenség mindenütt jelen van, és csak a gyakorisága miatt emeltem ki a Linuxot, mert a sajtóhíreknek ez a szempont. Ezért is Linux volt abban a reklámban, semmi se véletlen.
Szóval tényleg baromság, de nem az enyém :)

--
joco voltam szevasz

> Mert ha a user, "Én nem akarok mindig jelszót
> irkálni" típus és root-ként van bent

Nade még akkor is el kell fogadnia a makrófuttatást. Ha pedig annyira butus, akkor meg is érdemli, függetlenül az operációs rendszertől (OOo ugye fut elég sok OS-en).
---
;-(

Ugye ezzel a hozzaszolassal nem azt akartad sugallni, hogy a viruskerdes legalabb annyira problema Linuxon, mint Windowson? Mert ez egyszeruen nem lenne igaz. Az, hogy en is tobb nem advenced usernek ajanlottam a Linuxot, az azert van, mert egy ilyen ember altal tekepitett - mondjuk felhasznalobaratabb Ubuntu, vagy Uhu - sokkal biztonsagosabb, mint egy hasonlo XP, amire sem virusirto, sem spyware irto nincs telepitve. Netezesre, szovegszerkesztesre mindket rendszer konnyen bekonfiguralhato. A tobbi dolgot meg mar ismerjuk...

Abba pedig kulon ne is menjunk bele, hogy ez a macrovirus nem is Linux, hanem OOo specifikus, tehat win alatt ugyanugy problema, mint barhol mashol.

Ebben teljesen igazad van, a "huje" user az mindenutt az, platformtol fuggetlenul. :)
De ettol meg igaz az a tezis, hogy altalaban kevesebb gondot okoz a Windowson tul letezo vilag az egyszeru usernek - legyen az Linux, BSD, vagy MacOSX - ha virusrol, trojairol vagy mas hasonlo kartevorol van szo.

( gyrgyvrs | 2007. 05. 23., sze – 18:22 )

Jó, tényleg nem a linuxról szól, hanem arról, hogy eddig szidták-szidtuk-szidtam az MS Office programot, hogy mennyi makróvírust lehet kapni, bezzeg az OOo-nál nem, aztán tessék, kiderül, hogy itt is meg lehet írni férget.
Meg azért csak feltelepül Linux alá is, ha mondjuk root-ként használjuk és a next-next-ok technikát használjuk.
Mert ugye, ha jól értem egyszerű user jogokkal nem?
Egyébként nekem wine alatt már sikerült aplikálni egy férget :-)
Windows alatt újratelepítést eredményező valamit sikerült használnom (valami exe), erre kipróbáltam wine segítségével, szépen feljött egy kis ablak, hogy a gépem ferőzött, keressem fel az xy oldalt :-) Na mondjuk az újraindítás segített.

A mennyiség a nem mindegy.

Nem akarlak elkedvetleníteni így mindjárt a rantkezdeményed elején, de én még emlékszem, hogy egy évvel ezelőtt már előálltak egy proof-of-concept StarOffice "makrovírussal" ( Az OpenOffice.org reagált a proof-of-concept "makróvírusra" ). Az azóta eltelt egy évben sikerült előállítani ismét egy proof-of-concept "makrovírust" az OOo-hoz. Hát ha ebben az ütemben haladnak, akkor nem félek. Természetesen lehet, hogy valami oknál fogva majd most belehúznak a malware írók, de nem látok rá nagy esélyt. Egyszerűen nem éri meg.

--
trey @ gépház

Nem akarlak elkedvetleníteni így mindjárt a rantkezdeményed elején
Bocs, mi az hogy rant?
Egyébként talán a virushirado.hu oldalán írták erről, hogy nem igazán probléma ez a worm, elvégre az OOo nem elterjedt progi. Számomra sokkal megnyugtatóbb lenne, ha azt írnák, hogy ez komoly problémára hívja fel a figyelmet, mivel az OOo és Linux is egyre elterjedtebb. Akkor talán nem kellene csak azért felrakni MSOffice-t egy gépre, mert valami specko progi csak Excell-be tudja az adatokat kinyomni (az más kérdés, hogy miért ilyen sz*r a progi, hogy csak ezt tudja).
Egyébként pedig talán nem csak a Sophos, hanem az OpenOffice.org neve is forog így...

A Sophos lapján elolvashatod, mit csinál. Röviden: oprendszertől függően az adott oprendszeren népszerű irc program profilmappájába pakolja magát, és DCC-vel próbálja terjeszteni magát. Ezen kívül nekiáll pingelni egy pár site-ot (DoS). Userként is működik, és nyilván bármit csinálhatna, amihez a usernek joga van. De az egész ott kezdődik, hogy meg kell nyitni a badbunny.odg-t (egy OOo rajz), és ott a felbukkanó ablakban egyet kell érteni azzal, hogy az ismeretlen származású makró lefusson. Ez nem OOo biztonsági hiba, és az egész csak arra volt jó, hogy a Sophos neve forogjon egy kicsit, és az OOo-nak rossz PR-ja legyen. Mint tavaly a StarDust "vírus" esetén: ez vihar a biliben.

( bastya_elvtars | 2007. 05. 23., sze – 19:17 )

Aki ész nélkül nyitogat meg untrusted doksikat, meg agyatlanul végigfuttatja a makrókat, az meg is érdemli.
BTW célszerű az ilyenek miatt is a vírusirtó Linuxra.
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME
Registered M$funboy #006 (vigyázat: memetikai dágvány!!!11)

( szorpi | 2007. 05. 23., sze – 21:32 )

Azért tisztázzuk már szerintem, hogy ez nem egy OOo gyengeség kihasználása.

Ha én küldök neked egy futtatható fájl Te meg elindítod, akkor egyrészről futni fog és azt csinálja, amit írtam bele, másrészt hülye vagy. Most hol itt a probléma?
Mitől hír ez?

A makrók azért vannak, hogy azt az office programok lefuttassák. Ha azt mondod, hogy fuss, akkor fut. A makróknak pedig csak a programozó fantáziája szab határt.

Egy egy nagy tömény baromság hozzánemértő, rosszindulatú emberektől.

Olyan ez, mint az albán vírus:
"Én egy szegény albán vírus vagyok, légyszíves küldj tovább az ismerőseidnek, majd törölj le mindent a merevlemezedről. Köszi!"

Nem értek az OpenOffice.org makrózásához, de "A makróknak pedig csak a programozó fantáziája szab határt" nem tűnik nyilvánvalónak. A fájlba ágyazható makrók arra vannak, hogy a program funkcionalitását kibővítsék az adott fájlra vonatkozóan. Ezeket nem olyan jogosultságokkal kéne futtatni, hogy csak az egész rendszerhez ne legyen hozzáférésük, csak az adott dokumentumhoz, ill. bizonyos mértékig az adott OOo példányhoz? Vagy ez nem is cél?