Девятый бит: Блог кафедры АСОИУ ОмГТУ

Эволюция техники изоляции (sandbox) открытого документа (MS Word 2003-2013)

Office

Многие пользователи MS Word при выходе новой версии MS Office, скептически относятся к обновлению своих, уже ставших привычными, программ. Но стоит помнить, что в новых версиях устраняются многие «дыры» безопасности.

Старые версии MS Word уже не отвечают современным требованиям безопасности, и могут быть легко взломаны:

Именно поэтому старайтесь обновлять свое ПО, если вы хотите быть уверены в защите своих документов (и банковских счетов) от несанкционированного получения доступа к ним третьими лицами.

 

При подготовке материалов использована информация с сайтов: office.microsoft.comblogs.technet.com и desksite.ru

2003

Макрос — это набор команд и инструкций, группируемых вместе в виде единой команды для автоматического выполнения задачи. При открытии документа Word определяет, содержатся ли в нем макросы. Если макросов нет, документ открывается без дополнительных условий. При наличии макросов Word руководствуется текущими параметрами защиты. Можно установить один из трех уровней безопасности:

  • Высокий (High) — этот уровень позволяет запустить только макросы, подписанные и засвидетельствованные центрами сертификации, находящимися в списке «надежных источников» (неподписанные макросы автоматически отключаются);
  • Средний (Medium) — в этом случае при открытии каждого файла будет выдаваться диалоговое окно с вопросом о целесообразности запуска макросов (это происходит каждый раз, когда открываемый файл содержит макрос, подписанный центром сертификации, не входящим в список);
  • Низкий (Low) — этот уровень защиты разрешает запуск всех макросов, независимо от их свойств.

По умолчанию в Word используется самый высокий уровень защиты.

Контроль над распространением информации

В версии Word 2003 есть серьезные проблемы с безопасностью. Чтобы защитить информацию, содержащуюся в документах, пользователям предлагается ставить пароли. Самым надежным способом является установление пароля на открытие. В качестве алгоритма шифрования по умолчанию стоит алгоритм хеширования SHA1, ключ RC4 может иметь длину до 128 разрядов, а длина пароля может быть равна 255 символам.

Если используется средство Версии, в файле с документом в качестве скрытой информации присутствуют различные его версии. Это очень удобно с точки зрения работы над документом, поскольку всегда можно вернуться к более ранним вариантам, но если послать кому-нибудь такой документ, адресат сможет ознакомиться со всеми версиями точно так же, как и их создатель. К тому же версии, как и любые скрытые данные, перестанут быть скрытыми при сохранении документа в другом формате. Чтобы избежать ненужного распространения информации, нужно удалить версии из документа прежде, чем отсылать его (применимо ко всем версиям пакета Office).

2007

В Microsoft Office 2007 значительно улучшена система защиты документов. Существенно изменен формат файлов: теперь вместо OLE-контейнеров применяется легко читаемый формат XML. Однако если файл защищен паролем «на открытие», документ представляет собой OLE-контейнер, в котором находится информация о шифровании и сам зашифрованный документ. Для шифрования применяется широко известный и криптостойкий алгоритм AES. Длина ключа всегда 128 бит, что исключает возможность прямого перебора ключей.

Перед включением макроса в документе, центр управления безопасностью выполняет следующие проверки:

  • макрос должен быть удостоверен цифровой подписью разработчика;
  • цифровая подпись должна быть действительной;
  • цифровая подпись должна быть действующей (не просроченной);
  • сертификат цифровой подписи должен быть выдан общепризнанным центром сертификации;
  • разработчик, удостоверивший макрос, должен быть надежным.

Если центр управления безопасностью обнаруживает нарушение хотя бы одного из приведенных выше требований, макрос по умолчанию отключается и появляется панель сообщений с предупреждением о потенциальной опасности макроса.

MOICE

Для решения проблемы атак группа разработки Office специально создала среду MOICE (изолированная среда преобразования Microsoft Office, которая поддерживается только при использовании с пакетами Microsoft Office 2003 и Office 2007). Среда MOICE выполняла «обезвреживание» файла с помощью преобразования потенциально опасного двоичного файла в безопасный XML-формат, а затем обратно в двоичный и только после этого открывала файл. Кроме того, MOICE преобразует входящие файлы в изолированной среде, что помогает защитить компьютер от потенциальных угроз. Целью такого преобразования являлось удаление вредоносного кода, скрытого внутри файла.

Среди недостатков среды MOICE можно отметить следующее: файлы, преобразование которых занимало много времени, долго открывались, что разочаровывало пользователей. Кроме того, после преобразования некоторые файлы могли отображаться не полностью, поэтому очевидно, что с точки зрения удобства использования, данная функция нуждалась в доработке.

2010

Многоуровневый подход к обеспечению безопасности (подробное описание доступно по этой ссылке): Четыре уровня защиты

Четыре новых элемента управления позволяют повысить безопасность и уменьшить вероятность атаки. Ниже приведены эти элементы управления:

  • Поддержка предотвращения выполнения данных (DEP) для приложений Office. Аппаратная и программная технология, усиливающая защиту путем предотвращения выполнения вредоносного кода. Предотвращение выполнения данных позволяет предотвратить атаки, связанные с переполнением буфера, посредством идентификации файлов, которые пытаются выполнить код из той части памяти, которая зарезервирована только для данных.
  • Проверка файлов Office. Компонент ПО, который способствует снижению вероятности атаки посредством поиска файлов, не соответствующих определению допустимого формата файлов.
  • Расширенные параметры блокировки файлов. Параметры, управляемые в центре управления безопасностью и в групповой политике, которые способствуют снижению вероятности атаки путем предоставления более точного управления типами файлов, доступными для приложения.
  • Защищенный просмотр.

Курс: «Безопасность Office 2010: защита файлов»

Защищенный просмотр

Ненадежные файлы открываются для просмотра в изолированной среде, известной как защищенный просмотр. В этой среде пользователи могут просматривать файлы и копировать содержимое в буфер обмена. Однако они не могут печатать или редактировать файлы. Если документ содержит активное содержимое, такое как элементы управления ActiveX и макросы, отображается панель сообщений, запрашивающая разрешение на открытие активного содержимого.

Песочница Office 2010 является «новой версией» изолированной среды MOICE, описанной ранее. Но в отличие от MOICE преобразование файла не выполняется. Вместо этого файл открывается в песочнице соответствующего приложения (Word, Excel или PowerPoint) и при наличии в файле вредоносного кода данный подход не позволит ему изменить документ, профиль или параметры пользователя.

Кроме того, многие новые и улучшенные элементы обеспечения безопасности можно настраивать с помощью параметров групповой политики. Это облегчает применение и поддержку архитектуры безопасности в организации.

Блок-схема решений о доверии

2013

Теперь пользователь может создать свой профиль (Microsoft Live Account), а затем работать и получать доступ как к локальным файлам, так и к «облачным» документам без повторной идентификации себя.

Защищенный просмотр помогает сократить число уязвимостей компьютера за счет открытия файлов в ограниченной среде, которую также называют песочницей, где их можно изучить перед открытием для редактирования в Excel, PowerPoint или Word. В предварительной версии Office 2013 используется более строгая изоляция процессов, при этом блокируется сетевой доступ из песочницы, пока пользователь не сочтет файл безопасным. Подробнее.

Новый метод шифрования файлов Office 2013 позволяет администраторам расшифровывать защищенные паролем файлы с помощью дополнительного закрытого ключа. Теперь открытый ключ и сертификат сохраняются в заголовке файла после применения пароля. Если пароль будет утерян или забыт, администратор может использовать средство командной строки (с разрешением и правами доступа к сертификату и паролю, конечно) для удаления пароля или применения нового пароля.

Следует помнить, что сохраняя документ в режиме совместимости со старыми версиями, будут применены режимы защиты, которые характерны для предыдущих версий пакета.

You must be logged in to post a comment.