Gyurkity Péter

Hibás az Office titkosítási eljárása

Egy szingapúri biztonsági cég jelentése szerint a Microsoft Word és Excel hibás titkosítási eljárása miatt bárki könnyedén kibonthatja a jelszóval védett fájlokat, és hozzájuthat bizalmas adatainkhoz.

Hongdzsun Wu, az Institute of Infocomm Research szakembere jelentésében megjegyezte, hogy a szoftveróriás szakemberei nem megfelelő kódon integrálták a titkosítási eljárást, így az Office alkalmazások által elmentett fájlok védelme megkérdőjelezhető. "Rengeteg értékes információt nyerhetünk ki a titkosított fájlokból. Mindenki, aki igénybe vette a Microsoft Office titkosítási eljárást, jobban teszi, ha már most utánanéz, hogy milyen adatok kerültek veszélybe" - áll a jelentésben.

A Microsoft szóvivője tegnap megerősítette, hogy megkezdték a probléma vizsgálatát. "A vizsgálat első eredményei alapján kijelenhetjük, hogy a szóban forgó hiba igen kis veszélyt jelent a felhasználókra nézve. A támadó egyes esetekben valóban kibonthatja a titkosított fájlokat, de csak akkor, ha a kérdéses fájl több verziója is az illető birtokában van. A támadónak ugyanis a hiba kihasználásához két azonos nevű, de eltérő fájlra van szüksége, amelyeket ugyanaz a jelszó véd" - áll a Microsoft közleményében.

A kriptográfusok véleménye némileg eltér a Microsoft álláspontjától: szerintük ugyanis súlyos hibáról van szó, mivel az eljárás olykor ugyanazt a kulcsot használja két eltérő fájl titkosításához. Azt pedig könnyű belátnunk, hogy az eltérő fájlok összehasonlításával a támadók jelentős időt takaríthatnak meg, és jóval hamarabb visszafejthetik a fájlok kibontásához szükséges kulcsot.

A Microsoftot nem először éri kritika ezen a téren. Biztonsági cégek számos esetben figyelmeztettek a korábbi Windowsok gyenge jelszavas védelmére, sőt, 1999-ben még a Windows NT védelmének hatékonyságát is kétségbe vonták. Bruce Schneier, a Counterpane Internet Security technológiai igazgatója a mostani hibát az 1999-es esethez hasonlította, és kritizálta a szoftveróriást, mert a jelek szerint a vállalat saját korábbi hibáiból sem tanul. "A kriptográfia terén ez gyerekes hiba, és különösen bántó, hogy már másodszor fordul elő" - jelentette ki Schneier.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • SHADOWEYES7 #9
  • peteragoston #8
    es hogy lehet azokat feltorni?
  • galocza #7
    az msben nem hülegyerekek vannak.
    nevezzetek paranoiásnak, de ha marhaságot csinálnak, szvsz szándékosan teszik.

    ps: mintha lecsengőben lenne az offiszmánia - mostanában mindenki marad a réginél, a piac meg kellene.
  • pemga #6
    Nemtom, nekem az Outlook-al lementett jelszóvédett projektlevelezést (pst file-ok) kellett felnyitnom, mert már mindenki elfelejtette, h. mi volt az az egyszerű jelszó :), amivel lekódolták. Netről 5 perc volt találni valamit, ami 2 perc alatt felnyitotta. (Nem a jelszót találta ki, gondolom csak bebillentett egy flag-et, hogy nincs védve :)). Ez vmikor tavaly volt.
  • Csacsis #5
    Reméljük az 51-es körzet adatait is WINDÓZos környezet "védi" :)
  • Zoldalma #4
    Azt az idoszakot varom mikor a Microsoft a bejelenteseit nem igy kezdi:
    "A vizsgálat első eredményei alapján kijelenhetjük, hogy a szóban forgó hiba igen kis veszélyt jelent a felhasználókra nézve"
  • PetruZ #3
    Nem azért, de kb. már lassan egy éve ismert ez a dolog és az is, hogy egyes régebbi verziókból egy hexa editorral gyakorlatilag gyerekjáték kiütni a kódot...
  • JTBM #2
    Tényleg gyerekes hiba, az MS titkosítási szakértői ennél azért jobbak. Valószínűleg nem egy szakértő csinálta az egészet, hanem egy mezei programozó, akinek adtak egy titkosító class-t, a szokott MS minőségű doksival...
  • blackeagle #1
    Semmi meglepő nincs ebben a hírben sem. Én azon csodálkoznék ,ha müködne egyáltalán valami amit az m$ csinált.