2.2. Захист інформації в Microsoft Word 2010

Розглянемо Microsoft Word версії 2010, яку можна вважати найбільш актуальною на даний момент: версії 97 вже дещо застаріла, а версія 2002 (з пакету Microsoft Office XP) ще не знайшла достатнього поширення.

Отже, що можна захищати вбудованими засобами Microsoft Word 2010:

документи Microsoft Word;

впроваджені в документи або шаблони макроси - програми, написані на вбудованому в програми пакету Microsoft Office мовою Visual Basic for Applications (VBA).

Все що зберігаються і обробляються на комп'ютері відомості - від макровірусів.

Microsoft Word дозволяє встановити парольний захист конкретного документа двох видів:

пароль для відкриття документа;

пароль для модифікації документа.

Паролі можна ввести у вікні параметрів збереження документа , яке можна вибрати одним з таких способів:

За допомогою команди меню File \ Save As, подальшого натискання кнопки Tools і вибрати з випадаючого меню команди General Options. За допомогою команди меню Tools \ Options і вибору вкладки Save. Microsoft Word дозволяє вводити паролі довжиною до 15 символів. Обидва пароля (при їх наявності) запитуються при відкритті документа, причому при відмові від введення пароля для модифікації документа відбувається відкриття документа в режимі, дозволяючому тільки його читання (Read-only).

Пароль для відкриття документа є основою для формування ключа шифрування, на якому (за наявності паролю) документ шифрується за алгоритмом RC4. Слід врахувати, що парольний захист документів передбачена тільки для основного формату документів Microsoft Word, при спробі збереження закритого паролем документа в іншому форматі видається попередження про неможливість застосування парольного захисту до документів інших типів:

"This document is password protected. Saving this document in a format other than a Word Document will result in the loss of protection. Do you want to continue?"

Крім цього, за допомогою команди меню Tools \ Protect Document викликається вікно Protect Document , в якому можна встановити одну з таких ступенів захисту документа (корисні, наприклад, при колективній роботі з документами).

Фіксування записи виправлень (Tracked changes). Дозволяє вносити виправлення в документ, однак, всі виправлення фіксуються і відзначаються; згодом ці виправлення можуть бути прийняті або відкинуті автором або редактором цього видання.

Заборона змін, крім коментарів (Comments). При включенні даного перемикача до проглядається документ можна тільки додавати коментарі.

Дозвіл введення даних тільки в поля форм (Forms). Модифікація документа забороняється, дозволяється тільки введення даних у форми документа. Цей ступінь захисту може бути застосована до вибіркових розділах документа. Зміна ступеня захисту може бути також захищене паролем довжиною до 15 символів.

Вбудована мова програмування VBA істотно збільшує і без того величезні можливості Microsoft Word та інших програм Microsoft Office. Можливості VBA-макросів є практично необмеженими, оскільки з макросу можна викликати функції зовнішніх динамічних бібліотек (DLL), що дає повний доступ до комп'ютера в межах прав конкретного користувача. Microsoft Word містить засіб роботи з VBA-програмами - редактор Visual Basic. Для його активізації слід виконати команду меню Tools \ Macro \ Visual Basic Editor. Захист текстів VBA-програм може бути необхідна, наприклад, по наступному причин:

заради збереження інтелектуальної власності, якою є VBA-програма;

заради збереження цілісності VBA-програми від випадкової або навмисної модифікації.

Для захисту VBA-програм необхідно виконати наступні дії:

вибрати захищається проект у вікні проектів (Project) і виконати команду Project Properties контекстного меню;

активізувати вкладку Protection діалогового вікна властивостей проекту.У вікні властивостей проекту можна заблокувати проект від перегляду, включивши перемикач Lock project for viewing і ввівши пароль, введення якого необхідний для відкриття проекту в подальшому.

Мова VBA дозволяє виконувати різні дії при настанні певних подій за допомогою набору макросів, що викликаються автоматично. Для Microsoft Word це наступні макроси:

AutoOpen - викликається при відкритті документа;

AutoClose - викликається при закритті документа;

AutoExec - викликається при запуску Microsoft Word;

AutoExit - викликається при закритті Microsoft Word;

AutoNew - викликається при створенні нового документа.

У випадку, якщо в документі присутній макрос AutoOpen, то при відкритті даного документа автоматично виконається код макросу AutoOpen. Макрос AutoOpen може знаходитися і в шаблоні, в цьому випадку даний макрос виконуватиметься при відкритті будь-якого документа, до якого пріаттачен містить макрос AutoOpen шаблон.

Як видно, автоматичні макроси дозволяють виконувати різні дії без відома користувача. Механізм автоматичних макросів використовується макровірусами для активізації і розповсюдження. Для прикладу розглянемо наступний ланцюжок дії:

макровірус міститься в макросі AutoOpen якогось документа Document.doc;

при відкритті документа макровірус виконує призначені йому автором функції, а також копіює себе в макроси AutoOpen і AutoNew шаблону Normal.dot;

при відкритті незараженої документа або створенні нового документа вірус копіюється в макрос AutoOpen документа, який стає вірусоносієм.

Microsoft Word пропонує захист від макровірусів (або від будь-яких інших "небажаних" макросів) у вигляді системи цифрових сертифікатів (технологія Microsoft Authenticode). Використання цифрових сертифікатів полягає в тому, що VBA-модулі підписуються їх розробником. При відкритті документа, що містить VBA-модулі, проводиться перевірка електронного підпису VBA-модуля. Макроси блокуються, тобто стають забороненими для виконання, в тому випадку, якщо їх підпис виявляється невірною, що говорить про те, що код VBA-модуля був змінений після підписування [7].

Ставлення Microsoft Word до містяться в документі макросам визначається настройкою рівня безпеки Microsoft Word. Для налаштування рівня безпеки призначено діалогове вікно Security, яке викликається за допомогою команди меню Tools \ Macro \ Security . Можливі такі рівні безпеки:

High. Всі макроси автоматично відключаються, за винятком тих, які підписані сертифікатами з надійних джерел;

Medium. Автоматичного відключення макросів не відбувається. У разі відкриття документа, що містить макроси, видається запит користувачеві, чи слід відключити макроси даного документа.Low;

даний рівень не рекомендується, про що зазначено безпосередньо в діалозі Security. Дозволяє відкривати всі документи, не відключаючи містяться в них макроси і не видаючи запит користувачеві.

Крім того, вкладка Trusted Sources містить перемикач Trust all installed add-ins and templates, що дозволяє не перевіряти електронну підпис всіх встановлених раніше VBA-програм, що знаходяться в шаблонах, у тому числі в Normal.dot. Однак, при виключенні даного перемикача електронний підпис VBA-модулів шаблонів буде перевірятися при кожній їх завантаженні.

Змушений стверджувати, що підсистема безпеки Microsoft Word 2010 має ряд недоліків.

Почнемо з парольного захисту документів Microsoft Word. Будь парольний захист у порівнянні з використанням випадково згенерованого криптографічного ключа має ряд недоліків. Багато користувачів недбало ставляться до паролів, що дозволяє підбирати пароль як за списком найбільш уживаних паролів, так і шляхом атаки з використанням словника, що містить список слів будь-якої мови (в тому числі, власні імена) та загальновживані фрази. Досить часто застосовуються короткі паролі, що дозволяє здійснювати підбір пароля методом "грубої сили" (brute-force attack).

У Microsoft Word дана проблема дещо ускладнюється наступними факторами:

використовуваний для шифрування документів алгоритм симетричного шифрування RC4 може використовувати ключі довжиною до 128 біт; Microsoft Word обмежує довжину пароля 15 символів, що означає еквівалентну довжину ключа - 9 байт, оскільки 96 кодів символів з 256 неможливо використовувати в якості символів пароля. Таким чином, навіть при коректному перетворенні з пароля в ключ, ефективна довжина ключа шифрування в Microsoft Word практично в два рази менше, ніж дозволяється алгоритмом RC4.

Обмежуючи довжину пароля "зверху", Microsoft Word, навпаки, ніяк не обмежує її "знизу", допускаючи використовувати навіть односимвольному паролі!

Існують утиліти автоматичного підбору пароля спеціально для Microsoft Word, наприклад, програма Word Password Recovery Key, пропонована на сайті www.lostpassword.com. За допомогою такої утиліти можна перебирати паролі зі швидкістю більше мільйона паролів в секунду, причому, комбінацією методів: словникової атаки, грубої сили і з відомими символами пароля. Безсумнівно, дана програма призначена для тих користувачів, хто забув свій пароль, але ніщо не заважає використовувати її для розкриття чужого документа [9].

До речі, розробник утиліти Word Password Recovery Key гарантує миттєве визначення пароля, захищає документ від модифікації, а також пароля, встановленого в вікні Protect Document , що означає відсутність криптографічних методів при застосуванні даних паролів в Microsoft Word.

До речі, пропонована на www.lostpassword.com програма VBA Key, призначена для підбору пароля захисту VBA-модулів, гарантує миттєве визначення пароля.

Що дивно, на відміну від пароля, захищає документ, пароль для захисту коду VBA має істотно більшу максимальну довжину - до 32 символів, хоча саме тут довжина пароля, практично, не впливає на ступінь захисту. Де логіка?

Моя порада розробникам VBA-програм: все, що відноситься до інтелектуальної власності, максимально виносити в зовнішні DLL, а VBA використовувати лише для трансляції даних.

Цікаві особливості захисту від небажаних макросів.

Для початку задумаємося над тим, де і як Microsoft Word зберігає свої налаштування рівня безпеки. При зміні рівня безпеки з Low на High програма Regmon.exe (монітор роботи з реєстром, freeware з www.sysinternals.com) видає дамп. Після невеликих експериментів з параметром Level в зазначеному розділі реєстру можна зробити наступні висновки:

Значення рівня безпеки зберігається в параметрі Level в найпростішому вигляді, а саме:

1 – Low;

2 – Medium;

3 – High.

Microsoft Word не контролює коректність значення параметра Level, що абсолютно неприпустимо в будь-яких засобах забезпечення безпеки: при вказівці будь-якого значення в діапазоні від 4 до MAXDWORD включно рівень безпеки трактується як Low, тобто Microsoft Word дозволяє запуск будь-яких макросів без повідомлення користувача. При цьому рівень безпеки в діалозі Security не вказується взагалі.

Найцікавіше відбувається, якщо встановити в параметр Level значення 0: діалог Security показує встановлений рівень High, після чого (якщо закривати діалог кнопкою Cancel або Esc) дозволяє запускати будь-які макроси - тобто Microsoft Word реально працює з рівнем Low. Проте, варто визнати, що, якщо закрити діалог Security кнопкою OK (Enter), то в реєстр благополучно записується рівень 3 (High) і неавторизовані макроси блокуються.

Варто сказати, що серйозною дірою пряму запис у реєстрі рівня безпеки назвати не можна, оскільки обійти підсистему безпеки безпосередньо (з документа Microsoft Word) неможливо навіть в цьому випадку. Проте це серйозний недолік, оскільки:

Це і не дає можливості для широкого зараження комп'ютерів (як, наприклад, недоліки Internet Information Server), використавши цю особливість зловмисник може провести атаку на конкретний цільовий комп'ютер - досить лише примусити його власника активувати додаток, що містять всього три додаткові команди: відкриття ключа реєстру , запис Level 0, закриття ключа. Сила методів соціальної інженерії всім відома , а культура користувачів по відношенню до безпеки досі залишає бажати вельми кращого. Така атака буде непомітною для користувача, після чого досить через один файл з макросом AutoOpen заразити Normal.dot, щоб, наприклад, отримувати через мережу копії всіх документів, що обробляються через запроваджений в Normal.dot макрос AutoClose. Впровадження можна зробити і з того ж пише в реєстр модуля через механізм Automation (При використанні Automation все, насправді, ще простіше, оскільки через цей механізм, незалежно від рівня безпеки, можна завантажити документ, що містить макроси, і виконати будь-який з його макросів ).

Дана ситуація посилюється недосвідченістю користувачів (готовий стверджувати, що, як мінімум, 50% користувачів не намагалися виконати команду Tools \ Macro \ Security або не розуміли призначення діалогу Security). Ще гірше з точки зору безпеки те, що в дуже зручному для використання механізмі приховування рідко використовуваних меню, що з'явилося в Microsoft Office 2010, підменю Tools \ Macro спочатку (після інсталяції Microsoft Office) не відображається.

Згадаймо поведінку при параметрі Level = 0, коли показується максимальний рівень, а робота відбувається при фактичному мінімальному. Це здатне обдурити користувача досвідченіші.

Зрозуміло, що повний захист без застосування спеціальних засобів організувати неможливо, однак, думаю, що не набагато складніше було б, наприклад, при кожній зміні значення Level генерувати випадковий ключ, зашифровувати DES-му нове значення Level, після чого розкидати байти ключа по різним змінним реєстру (нехай навіть в тому ж подключе Security). Зрозуміло, що будувати захист на невідомості алгоритму неможливо - він все одно стане відомий, але, погодьтеся, це вже зовсім інші вимоги до кваліфікації зловмисника.

У зв'язку з усім вищесказаним механізм безпеки в Microsoft Word 2010 особисто я вважаю більш правильним - макроси перевіряються завжди і користувач кожен раз повинен приймати рішення про їх включення і відключення - таким чином, при отриманні документа з недовірених джерела він обов'язково відключить макроси при їх наявності та при мінімальному рівні знань про комп'ютерні віруси та безпеки [11].

На відміну від налаштування Level, дана поводиться дуже пристойно, тобто будь-яке відмінне від нуля значення трактує як 1, тобто відсутність довіри. На мій погляд, для тих користувачів Microsoft Word, які користуються тільки вбудованої функціональністю (кількість таких користувачів я б оцінив не менш, ніж в 90% від їх загальної кількості), відключення довіри встановленим макросам було б вельми непоганим захистом від макровірусів укупі з максимальним рівнем безпеки (бачені мною макровіруси взагалі не лізли в ключ Security, мабуть, через марність - раз вже там стоїть High, то прориватися слід через exe-модуль). Звичайно, повний захист забезпечити неможливо - для цього слід просто відключитися від мережі.