gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Falha de segurança nas passwords do MS Word
Contribuído por AsHeS em 08-01-04 9:11
do departamento deixa alterar umas coisas
Microsoft being escreve "A Microsoft admitiu que o método utilizado para utilizar (passo o pleonasmo) passwords no Microsoft Word nao é seguro... isto após muitas criticas, ao que parece. Aqui esta o link.
Foram mesmo mais longe ao ponto de dizer que quem quiser segurança devia usar uma assinatura digital ou entao, e desculpem nao traduzir correctamente, utilizar uma aplicaçao do tipo da Acrobat. ( sorry :) "

[N.E]: Como se pode ler aqui, através de um editor hexadecimal, pode-se remover a password, alterar o documento, e voltar a introduzir a mesma password, "sem deixar rasto".

Direito de Autor: Directiva 2001/29/CE | EVARISTO: publicada a 1ª beta da versão 1.2  >

 

gildot Login
Login:

Password:

Referências
  • ZDNet
  • link
  • aqui
  • Mais acerca Microsoft
  • Também por AsHeS
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Engraçado! (Pontos:3, Interessante)
    por 4Gr em 08-01-04 9:22 GMT (#1)
    (Utilizador Info)
    Suponho que esta fantástica "feature" implementada pela Microsoft não seja exclusiva desta nova versão, ou então as outras ainda eram bem piores. Assim sendo, há já alguns anos que a segurança de um ficheiro word é comprometida por causa deste método.

    E daqui conclui-se: viva o software proprietário e fechado!



    Dominus vobiscum
    O seu a seu dono (Pontos:3, Informativo)
    por mrmv em 08-01-04 10:24 GMT (#2)
    (Utilizador Info)
    Foram mesmo mais longe ao ponto de dizer que quem quiser segurança devia usar uma assinatura digital ou entao, e desculpem nao traduzir correctamente, utilizar uma aplicaçao do tipo da Acrobat. ( sorry :)

    Quem disse isto foi o consultor da Guardeonic Solutions...

    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:O seu a seu dono (Pontos:1)
    por Kmos em 08-01-04 11:18 GMT (#3)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    E desde quando é que o Acrobat é seguro? =) ao menos ainda conseguem recomendar outra empresa, já não andam tão ditadores.

    I'm a lost soul in this lost world...
    Re:O seu a seu dono (Pontos:1)
    por mrmv em 08-01-04 11:26 GMT (#4)
    (Utilizador Info)
    Não leste o meu comentário? não foi a MS a recomendar Acrobat nenhum...
    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:O seu a seu dono (Pontos:1)
    por Kmos em 08-01-04 14:59 GMT (#7)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Quem disse isto foi o consultor da Guardeonic Solutions...

    As minhas desculpas, tava a dormir hehe.. mas a primeira parte do post é para continuar.. recomendam outro produto que não oferece segurança na mesma.

    I'm a lost soul in this lost world...
    Forms passwords only (Pontos:5, Interessante)
    por cgd em 08-01-04 11:40 GMT (#5)
    (Utilizador Info) http://cgd.sdf-eu.org/
    Atenção que a notícia, tal como está colocada, pode ser enganadora. Não se trata de uma falha no sistema de documentos protegidos em geral, mas apenas do caso concreto das form-passwords, i.e. quando o user tem acesso a todo o documento mas não pode seleccionar partes nem modificá-las. Os documentos protegidos por passwd não se conseguem abrir logo à partida (sem a respectiva passwd) o que impossibilita o uso deste método.

    Ainda assim é uma falha chata. Os próprios PDFs tb não são seguros. Este problema, o de ter acesso a um documento, mas não o poder copiar [e depois eventualmente modificar] é uma guerra recorrente em várias realidades (CDs, DVDs, documentos electrónicos), que não se consegue ganhar, porque como é óbvio, se temos acesso aos conteúdos de uma dada forma (no ecran por exemplo), então temos forçosamente que ter acesso aos bytes que produzem esse output e a partir daí...

    Re:Forms passwords only (Pontos:1)
    por mrmv em 08-01-04 12:10 GMT (#6)
    (Utilizador Info)
    Tens razão o artigo não é muito claro, mas mesmo a password de protecção do documento é relativamente fácil de obter, existem inclusivamente ferramentas que as extraem desde as versões mais antigas...
    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:Forms passwords only (Pontos:2)
    por Arrepiadd em 08-01-04 19:53 GMT (#9)
    (Utilizador Info)

    Segundo li no Slashdot as versões mais antigas (se não em engano até ao Office 98 [ou era 97?]) bastava abrir um documento em branco e no menu Insert seleccionar File e adicionar o documento protegido ao documento em branco que ele nem pedia password.

    Nas versões mais novas já o faz, é impossível usar este método no (pelo menos) Word 2002 que tem mais que uma encriptação possível para documentos.

    A existência de programas que extraem as passwords, é óbvia. Uma vez que o documento de Word não tem uma protecção do tipo três vezes a password errada e torna-se impossível de abrir o documento, pode-se fazer um ataque de força bruta, experimentando, quer todas as palavras, quer qualquer combinação de caracteres. No entanto, um sistema parecido pode ser usado (penso eu) para abrir qualquer tipo de documento que tenha uma password. E com as capacidades das novas máquinas...

    Era relatado (também no Slashdot) um caso curioso de alguém que tinha um programa que a uma password (para testar o dito programa) de 'test' devolvia, uma password de 'HSBDWSLSOBDGPM' (não era esta a password devolvida, mas era algo semelhante). Tanto esta password, como a password original abriam o documento.


    Re:Forms passwords only (Pontos:2)
    por CrLf em 09-01-04 2:40 GMT (#10)
    (Utilizador Info) http://crodrigues.webhop.net
    O Word fazia um xor usando a password pelo menos até há umas versões atrás. Isto era trivial de quebrar por métodos criptoanalíticos (coisa de segundos com pouca despesa em termos de CPU). Isto pode até ser lido, se não estou em erro, no "Applied Criptography" do Bruce Schneier.

    -- Carlos Rodrigues
    Re:Forms passwords only (Pontos:4, Informativo)
    por Strange em 08-01-04 19:45 GMT (#8)
    (Utilizador Info) http://strange.nsk.no-ip.org/
    True. E para os outros de protecção, existe http://www.elcomsoft.com/aoxppr.html.

    Os criadores desse software também publicaram a falha de segurança mencionada neste artigo em Fevereiro de 2001: http://www.blackhat.com/html/bh-multi-media-archives.html#Windows%20Security%202001

    hugs
    Strange

    nunca me preocupou (Pontos:1)
    por andyrock em 09-01-04 16:18 GMT (#11)
    (Utilizador Info) http://linuxinside.com.sapo.pt
    mesmo quando uso windows/office, se tenho de proteger um ficheiro basta zipa-lo com password.

    de qualquer forma, um aumento da segurança das passwords do office era bem vindo.
    Re:nunca me preocupou (Pontos:1)
    por jrfonseca em 09-01-04 22:19 GMT (#12)
    (Utilizador Info) http://jrfonseca.dyndns.org/
    O sistema de encriptacao usado num zip tambem tem as suas limitacoes. Basicamente se forem conhecidos cerca de 12 bytes do ficheiro original (o qe nao e' assim muito dificil dado os cabecalhos previsiveis de formatos como Word e outros) o numero de combinacoes para torna-se extremamente reduzido, bastando umas horas de forca bruta para encontrar a password.

    E' por isso q e' grande asneira quando certas empresas tem a versao completa dum programa disponivel em download num zip com password. Se tambem estiver um demo do programa disponvivel, fica canja desencriptar, pois geralmente ha ficheiros em comum...

    (PS: Nao me lembro do "white paper" que descrevia esta vulnerabilidade, mas a tecnica ja foi implementada em muitos desses programinhas russos de finalidade duvidosa.. ;)

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]