Ilona
18 °C
34 °C

Megkerülhető az MS Word jelszavas védelme

2004.01.08. 12:31
A Microsoft Wordben elmentett fájlokat a szoftver beépített jelszavas védelmével részben vagy teljesen írásvédetté lehet tenni. Az eljárást elsősorban formanyomtatványok védelmére találták ki, hogy a felhasználó csak adott mezőket írhasson át. Most viszont kiderült, hogy viszonylag könnyen megkerülhető a "titkosítás".
A Word dokumentumokra tett jelszavas védelem megkerülhető vagy tetszés szerint teljesen leszedhető bármely hex editor (szöveges szerkesztő) programmal. A beavatkozás nem hagy nyomot a Word fájlban. Ez azt jelenti, hogy illetéktelenek is le tudják venni a védelmet, átírhatják a fájlt, és visszaköthetik rá a jelszót.

A Microsoftot november végén értesítette a felfedezéséről Thorsten Delbrouck, a német Guardeonic Solutions biztonsági cég vezető szakértője.

Túl nagy elvárások

Egy december elején megjelentetett információs anyagban a Microsoft tagadta, hogy létezne bármilyen probléma. Az indoklás szerint a jelszavas védelemnek nem célja "bolondbiztos védelmet" adni a csalások és manipulációk ellen, mivel az csupán funkcionális védelem a dokumentum véletlen módosításai ellen.

A szoftvercég azt javasolja felhasználóinak, hogy aki tényleg védették akarja tenni a fájljait, használja a "jelszó a megnyitáshoz" funkciót. A CNetnek nyilatkozva azonban Delbrouck hangsúlyozta, hogy a védelmi eljárás hiányossága súlyos biztonsági következményekkel jár a vállalati ügyfelek számára.

Az átírható árajánlat

A német szakértő elmondása szerint cége egyik hardverbeszállítója, a Dell például védett Word dokumentumban küldi meg számukra az árajánlatait. Mi történik akkor, ha az ajánlatot átszerkeszti valaki, aláírja, és így faxolja vissza a megrendelést?

Minden valószínűség szerint bíróságon kötne ki az ügy, folytatta Delbrouck. A kirendelt szakértő pedig megvizsgálná az eredeti fájlt, és kijelentené, hogy a benne foglaltakat olyan jelszó védi, amit a vásárló nem ismerhetett. A védelem pedig még mindig él, vagyis az anyagot nem módosíthatták, állíthatná magabiztosan az igazságügyi szakértő.

Thorsten Delbrouck a jelszavas védelem megkerülésről szóló anyagát múlt pénteken jelentette meg a Security Tracker hírlevelében. A Microsoft erre válaszul átírta a tájékoztató anyagát, és beiktatta a következő figyelmeztetést: "Ha a 'jelszó a módosításhoz' funkciót használja, kívülállók akkor is megszerezhetik a jelszavát."

A digitális aláírás segíthet

A német szakértő szerint még nincs megoldás a problémára. A védelmi funkció használata helyett azt javasolja a cégeknek, hogy bizalmas információikat digitális aláírással védve, vagy teljesen más formátumban, például PDF-fájlban továbbítsák. Egyébként ugyanezt javasolta a német Dell leányvállalatnak is, jelentette ki Thorsten Delbrouck.

A Microsoft UK termékmenedzsere, David Bennie azt nyilatkozta a ZDNet-nek, hogy a Word jelszavas védelme hasznos lehet a kollégákkal való közös munka során, ez nem egy biztonsági megoldás, és nem is szabad rá így hivatkozni.