0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Безопасность Microsoft Office: форматы документов

Защита документов Microsoft Office

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

КАЗАНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

ИМ. А.Н. ТУПОЛЕВА

ФАКУЛЬТЕТ ТЕХНИЧЕСКОЙ КИБЕРНЕТИКИ И ИНФОРМАТИКИ

Кафедра Систем информационной безопасности

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

К ВЫПОЛНЕНИЮ ЛАБОРАТОРНОЙ РАБОТЫ № 8

ПО ДИСЦИПЛИНЕ

«Информационные ресурсы в менеджменте»

ЗАЩИТА ДОКУМЕНТОВ MICROSOFT OFFICE.

ЗАЩИТА ИНФОРМАЦИИ В АРХИВАХ

Казань 2011

Лабораторная работа № 8

«Методы и средства защиты компьютерной информации»

«Защита документов в MICROSOFT OFFICE.

Защита информации в архивах»

Цель работы – изучить способы защиты документов в пакете MICROSOFT OFFICE и в архивах. Исследовать стойкость данных защит к взлому.

Теоретический материал

Защита документов Microsoft Office

Программный пакет Microsoft Office является наиболее популярным и часто используемым пакетом при подготовке электронных документов. При работе с приложениями MS Office возникает проблема обеспечения защиты информации, содержащейся в документе, для чего в пакет Microsoft Office были введены различные типы защит.

Существует 3 основных типа защит документов в Microsoft Word.

1. Защита документа от записи исправлений (Сервис -> Установить защиту).

2. Защита документа от изменений (доступ по чтению).

3. Защита на открытие документа (Сервис->Параметры->Сохранение для OFFICE 2000 или Сервис->Параметры->Безопасность для OFFICE XP)

Первые 2 типа защит обладают нулевой криптостойкостью (стойкостью ко взлому).

Защита от записи (доступ только по чтению)

В случае установки данного типа защиты, при открытии документа от пользователя будет запрошен пароль, разрешающий запись документа. Если пароль не будет введен, то будет дано разрешение только на чтение документа.

Этот метод защиты является самым слабым. Пароль защиты записи хранится в документе в открытом виде. Его можно найти любым редактором кода. Этот пароль даже не хэшируется. Защищать документ этим типом защиты крайне не рекомендуется, его криптостойкость равна нулю. Совет – если пользоваться этим методом защиты, то пароль лучше задавать на русском языке, в этом случае его несколько труднее обнаружить.

Защита от изменений

В случае установки данного типа защиты, вплоть до ее снятия, все изменения, вносимые пользователем в документ, будут подчеркиваться и отмечаться красным цветом.

Криптостойкость данной защиты не намного отличается от предыдущего типа. Пароль также хранится в документе, отличие только в том, что он хэшируется. Длина хэша – 32 бита. Для снятия защиты можно либо заменить хэш на заранее известный, либо вычислить первый подходящий под хэш пароль. Для такой длины хэша подходящих паролей может быть несколько. Существует возможность заменить хэш на хэш-образ, соответствующий пустому паролю.

Защита на открытие документа

В случае установки данного типа защиты, при открытии документа от пользователя будет запрашиваться пароль, не введя который нельзя будет изучить содержимое документа.

Из всех рассмотренных способов защиты в Word, данный метод является самым стойким. При установке пароля, документ шифруется по симметричному алгоритму RC4. В документе хранится зашифрованный хэш-образ пароля, используемый при проверке. Хэш имеет длину 128 бит и формируется по алгоритму MD5. Единственный способ нахождения пароля – полный перебор. Если длина пароля большая, и пароль выбран в соответствие с требованиями, то взломать данный тип защиты за приемлемое время довольно сложно.

Как защитить документы MS Office

Если Вы пользуетесь Microsoft Office 2007 и обеспокоены безопасностью своих документов, то следует вспомнить, что в этот пакет, а так же в операционную систему, уже встроено множество технологий, помогающих надежно защитить документы от несанкционированного доступа, перехвата при передаче, способных разграничить доступ к документам для разных пользователей. Навряд ли большинство пользователей применяет что-то большее, нежели чем установку пароля на документ, по-этому я напомню о всех видах защиты.

Шифрование документа силами Microsoft Office 2007

Читать еще:  Почему на флешке меньше памяти чем написано?

Собственно, самый популярный метод защиты, которым пользуются все – установка пароля. Файл невозможно прочитать, если не знаешь пароль. Сейчас существует множество программ-ломалок, которые сделаны для вскрытия паролей, не все и не всегда из них эффективны, однако возможность взлома не исключена.

Цифровая подпись

Цифровая подпись – это примерно то же самое, что и обычная подпись, заверенная нотариусом. Только цифровая подпись не заверяется нотариусом, а выдается специальной организацией – Центром сертификации.

Центр сертификации (ЦС). Коммерческая организация, выпускающая цифровые сертификаты, отслеживающая, кому они были назначены, подписывающая сертификаты для удостоверения их подлинности и следящая за истечением срока действия выпущенных сертификатов и их отзывом.

Цифровую подпись можно добавить в документ как видимую, так и не видимую (сюрприз!). Да, чтобы получить ее, нужно обратиться в стороннюю организацию, однако это единственный законный способ закрепить за собой авторство и защитить документ от кражи и изменений. Следует помнить, что цифровые подписи, вставленные в документ Microsoft Office 2007, не имеют обратной совместимости в документами для программ предыдущих версий.

После установки цифровой подписи он становится доступным только для чтения. В Microsoft Office 2007 есть возможность сбора нескольких подписей для одного документа, например, для подписи ведомости на выдачу зарплаты можно установить требование подписи главного бухгалтера, руководителя предприятия и руководителя отдела. Очень интересная и перспективная защита, не распространенная на территории ex-СССР, более подробную информацию о которой можно получить тут: http://office.microsoft.com/ru-ru/excel/HA100997681049.aspx.

Теперь перейдем от технологий, встроенных в офис, к технологиям, имеющимся в Windows XP и выше.

Information Rights Management

IRM — это служба управление правами на доступ к данным, предназначенная для приложений Microsoft Office, связанная со службой Rights Management Services – службой управления правами. Служба Windows RMS обеспечивает сквозную защиту и контроль над тем, кто имеет возможности читать, печатать, изменять, пересылать или копировать документы.

IRM — это технология защиты информации (а не технология сетевой защиты), которая позволяет совместно использовать документы и отсылать их в сообщениях электронной почты, обеспечивая при этом полный контроль над доступом к этой информации, определяя тех, кто может просматривать или вносить в нее изменения. После того, как документ или сообщение электронной почты будут защищены с помощью этой технологии, указанные права на доступ и использование будут постоянно действовать независимо от того, где в дальнейшем эта информация будет использоваться (даже если эта информация будет использоваться за пределами сети организации). Поскольку IRM-защита неразрывно связана с защищаемым файлом, то установленные ограничения на использование будут постоянно действовать.

Подробнее ознакомиться с возможностями IRM можно на сайте разработчиков: http://www.microsoft.com/rus/technet/articles/office/4134.mspx.

IPSec — Internet Protocol Security, метод шифрования, который используется во время передачи данных по сети. Технология позволяет шифровать данные только во время самой передачи, защита заканчивается в тот момент, когда информация достигает места назначения. Подробности и технические параметры – у разработчиков: http://technet.microsoft.com/ru-ru/library/cc757613.aspx.

Наряду с технологиями, позволяющими шифровать данные при передаче, есть и локальное шифрование информации.

Encrypting File System

Шифрованная файловая система позволяет шифровать файлы и папки в пределах одной операционной системы, ограничивая доступ к файлам для ненужных пользователей. Однако имеет минусы – прежде чем отправить файл по сети, система его дешифрует. Система доступна в серверных бизнес вариантах, отсутствует в версиях для домашних пользователей (например, в Windows XP Home Edition ее нет). Подробнее с принципами работы системы можно ознакомится тут: http://ru.wikipedia.org/wiki/Encrypting_File_System.

И еще одна технология, позволяющая локально шифровать данные, появившаяся в Windows Vista – BitLocker. Она позволяет шифровать системный диск полностью, тем самым защищая содержимое от атак с выключением, которые рассчитаны на получение данных в обход операционной системы.

BitLocker использует алгоритм AES с ключом 128 бит. Для большей надежности длину ключа можно увеличить до 256 бит с помощью групповых политик или через поставщик инструментария управления Windows (WMI) для BitLocker.

Читать еще:  Что содержится в папке temp?

Надеюсь, что этот пост расширит Ваш взгляд на способы сохранения документов. Кстати, Вы не знаете, как (где, у кого) можно получить цифровую подпись в России и Украине?

Безопасность Microsoft Office. Часть первая

В этой статье речь пойдет о Microsoft Office OLE Structured Storage и природе недавних программ-дропперов и прочих эксплоитов, а также будет сделана попытка исследовать недавние MS Office эксплоиты.

Khushbu Jithra, перевод SecurityLab.ru

Большое количество обнаруженных в последнее время уязвимостей в MS Office сделало необходимым понимание механизмов архитектуры его безопасности и потенциальных уязвимостей. В этой статье речь пойдет о Microsoft Office OLE Structured Storage и природе недавних программ-дропперов и прочих эксплоитов, а также будет сделана попытка исследовать недавние MS Office эксплоиты.

1. Анализ недавних уязвимостей Microsoft Office

Уязвимости в MS Office привели к подозрительному отношению к документам, полученным по email, или скачанных с Web сайтов. Некоторые опубликованные уязвимости позволяют произвести повреждение памяти или вызвать переполнение буфера, а остальные – повышение привилегий. В результате все уязвимости ведут к компрометации уязвимой системы. На следующей диаграмме показано приблизительное количество уязвимостей в различных продуктах MS Office и их тип.


Диаграмма 1. Уязвимости в MS Office.

В столбце «Удаленное выполнение кода» находятся уязвимости различных уровней опасности, но именно эти уязвимости составляют наибольший риск для систем. Отказ в обслуживании и повреждение памяти представляют среднюю и высокую опасность.

На диаграмме 2 изображено выполнение произвольного кода в различных приложениях MS Office.


Диаграмма 2. Уязвимости в различных продуктах MS Office

На диаграмме каждый столбец отображает уязвимости в индивидуальном приложении. В столбце MS Office отображены уязвимости, которые присутствуют во всех приложениях продукта.

2. Структурированное хранилище OLE

Одна из самых первых уязвимостей в этом году в Microsoft Word эксплуатировалась с помощью программы-дроппера, заключенного в структуру файла MS Word. Некоторые уязвимости при обработке изображений и медиа объектов стребуют понимание структурированного хранилища OLE и структуры файла MS Office.

В данной статье структурированное хранилище OLE определено как систематическая организация компонентов в любом документе MS Office. Каждый документ содержит корневой компонент, который включает в себя компоненты хранилища и потоков. Структурированное хранилище OLE можно ассоциировать с структурой файловой системы, где хранилищами являются директории, а потоками – файлы, как показано на диаграмме 3:


Диаграмма 3. Структурированное хранилище OLE

Компонент хранилища может существовать как отдельный компонент. Каждый компонент хранилища может содержать под-хранилища и компоненты потоков. Корневой компонент может непосредственно содержать потоки. MS Office 2000 и выше поддерживают 2 формата файлов: OLE и XML файлы. Оба формата являются структурированным хранилищем, хотя последний является более дружественным к браузерам.

2.1 Документы MS Office и его компоненты

Давайте рассмотрим структуру документа Word, с включенным в него объектом Excel.


Диаграмма 4. Обычный формат хранилища документа Word

Компонент MS Word является коревым компонентом, который содержит несколько потоков и одно хранилище. Различные части документа — такие как само содержимое, вставленная таблица, CompObj ассоциированный с DLL файлами для объектов, краткая информация для содержимого, графические изображения, данные о документе – принимают форму потоков внутри корневого компонента. ObjectPool является хранилищем для под-хранилищ. На диаграмме изображено под-хранилище компонента Excel. Сам по себе ExcelSheet является хранилищем, которое содержит Workbook, SummaryInformation и DocumentSummaryInformation.

Различные файлы MS Office имеют схожую структуру. Различные объекты могут добавляться в документ и соответствующие компоненты потоков/хранилищ могут получать к объектам доступ и обновлять их. В некоторых компонентах COM и OLE были обнаружены повышении привилегий и некорректная обработка данных, которая могла привести к компрометации систем с установленными приложениями MS Office.

Читать еще:  Выбор оперативной памяти для игрового ПК

3. Простой механизм атаки

При обычном сценарии атаки, уязвимость эксплуатируется путем вставки злонамеренного объекта в структуру документа. Для подобной атаки могут использоваться несколько уязвимостей в MS Excel и MS Word.
Еще одним способом вставки злонамеренного объекта является уязвимость при обработке объекта указателя в MS Word. Эта атака продемонстрирована на диаграмме 5.

Диаграмма 5. Эксплуатация уязвимости.

  1. Целевой пользователь открывает злонамеренный документ MS Word из email вложения или Web станицы.
  2. При открытии файла выполняется злонамеренный компонент хранилища (программа-дроппер) в структурированном хранилище OLE.
  3. Троянский конь попадает на системы жкртвы.
  4. Троянский конь вместе с бекдором дают возможность атакующему собрать данные о системе, получить доступ к командной строке и сделать скриншоты и поместить их в %System%Capture.bmp.

Давайте разобьем вышеописанный сценарий на этапы. Первый этап – создание злоумышленником злонамеренного документа Word. Структурированное хранилище OLE не проверяет содержимое компонента и позволяет вставку исполняемых приложений, таких как троянский конь. Второй этап – когда жертву обманом заставляют открыть злонамеренный файл из email вложения, или скачать с Web сайта. Третий этап – при открытии документа выполняется злонамеренный объект, который запускает троянского коня. Четвертый этап – троянская программа устанавливает бекдор, который дает возможность атакующему скомпрометировать целевую систему.

3.1 Программа-дроппер
Дроппер является приложением, которое позволяет установить одиночное злонамеренное ПО (Троян, черь, бекдор) на систему. Злонамеренный код чаще всего содержится в дроппере в таком виде, чтобы не быть замеченным антивирусными сканерами.

Дроппер трояна обычно распаковывает файлы во временную директорию и выполняет их. Дропперы редко обнаруживаются антивирусными приложениями и сканерами уязвимостей. Это происходит по следующим причинам:

  1. Дропперы не являются сами по себе злонамеренным ПО. Они лишь содержат злонамеренный код, который устанавливают на целевую систему.
  2. Во многих случаях дропперы содержат безвредные медиа файлы для сокрытия злонамеренной активности.
  3. Иногда дропперы перезаписывают злонамеренный файл MS Office его исходной копией для сокрытия улик присутствия злонамеренного приложения. Например Trojan.PDropper.B.
  4. Иногда дропперы распаковывают компоненты непосредственно в память и активируют их там, что не позволяет антивирусному ПО обнаружить такое приложение.

Несколько других уязвимостей MS Office заключаются в недостаточной фильтрации входных данных, недостаточной обработки строки OLE функций, недостаточной проверки переменных компонента потока (что приводит к переполнению буфера), повреждении памяти, и ошибочном воспроизведении свойств OLE.

Практически все уязвимости требуют от жертвы проверки источника происхождения документа MS Office перед его открытием, что сложно осуществить, если используются такие агенты эксплуатации как дропперы. Так что, единственным возможным решением является исправление ошибок в самом структурированном хранилище OLE.

4. Временные решения
Практически все временные инструкции начинаются с предупреждения пользователей о том, что не следует открывать вложения от известных и неизвестных вам отправителей. Microsoft публикует временное решение и меры предосторожности для разных уязвимостей, чтобы пользователи могли избежать проблем до выхода официального исправления:

  1. Документы MS Offce следует открывать в режиме “Safe Mode” – запустите приложение MS Office (Word, Excel, PowerPoint) в безопасном режиме, для этого удерживайте клавишу Control при запуске приложения. Если вам необходимо прочитать полученное вложение, не открывайте его двойным щелчком мыши, а сохраните его и откройте с с помощью приложения MS Office, запущенного в безопасном режиме.
  2. Заблокируйте MS-TNEF (Transport Neutral Encapsulation Format) чтобы оградить себя от попыток эксплуатации уязвимостей с помощью email с сообщения. Microsoft TNEF email сообщения известны так же как Rich Text Formatted e-mail сообщения, которые могут содержать злонамеренные OLE объекты. Такие сообщения содержат обычно вложенный файл Winmail.dat, в котором хранится TNEF информация. Блокирование этого файла может защитить почтовый сервер и email клиент от попыток эксплуатации уязвимостей.

5. Ссылки

Подписывайтесь на каналы «SecurityLab» в Telegram и Twitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector