Хакеры в панике: немецкий LibreOffice становится неприступным

Федеральное ведомство по безопасности в области информационных технологий Германии (BSI) представило новые меры для повышения безопасности популярного офисного пакета LibreOffice . В свете растущих кибератак на офисные программы, BSI инициировало проект, направленный на защиту пользователей этого бесплатного программного обеспечения.

Офисные приложения, такие как текстовые редакторы, таблицы и программы для презентаций, широко используются как в корпоративной среде, так и среди частных пользователей. Из-за их распространённости и уязвимостей они часто становятся целью для злоумышленников. Например, хакеры могут использовать устаревшие экземпляры офисных приложений для эксплуатации недостатков безопасности, запускать вредоносные макросы, встроенные в документы, и т.п.

Так как Германия в последние годы старается полностью перейти на бесплатный софт с открытым исходным кодом, в большинстве государственных учреждений страны используется именно офисный пакет LibreOffice.

В рамках проекта, стартовавшего в сентябре 2023 года, были проведены значительные улучшения безопасности LibreOffice. Одним из ключевых нововведений стала принудительная настройка автоматических обновлений, что обеспечивает оперативную установку всех важных патчей безопасности.

Для дополнительного повышения безопасности в LibreOffice были отключены все небезопасные сетевые протоколы, такие как HTTP, SMTP и FTP, а также функции с активными элементами, включая DDE-команды, макросы, LibreLogo-скрипты и OLE-объекты. Кроме того, доступ к экспертным настройкам был ограничен, что позволит избежать случайных (а может и намеренных) изменений критических параметров.

Проект также включает внедрение современных алгоритмов шифрования документов, что значительно повышает безопасность хранения и обмена информацией. Кроме того, в ходе работ была проверена возможность использования крупных языковых моделей (LLM) для анализа кода, что может стать дополнительным инструментом для обеспечения безопасности в будущем.

В эпоху цифровизации защита информационных систем становится не просто технической задачей, а важнейшим элементом национальной безопасности. Инициативы по укреплению кибербезопасности демонстрируют, что государства осознают свою ответственность за создание безопасной цифровой среды для граждан и организаций.