Punto informatico Network

Chiave, key, ssl, crittazione, crittografia, sicuro, sicurezza

Inefficiente la crittazione di Office?

15/02/2005
- A cura di
Zane.
Archivio - Alcuni esperti del settore hanno rilevato debolezze nel sistema di crittazione Office: Microsoft minimizza, ma secondo gli studiosi il rischio è concreto.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

office (1) , inefficiente (1) , crittazione (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 118 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Il ricercatore Hongjun Wu ha data notizia di una possibile falla inerente al sistema di protezione dei documenti Office.

Stando all'esperto, il vettore di inizializzazione della crittazione rimarrebbe identico anche dopo la modifica e salvataggio di un documento protetto: sfruttando questa svista, un utente ostile potrebbe recuperare buona parte del testo da un documento Word o Excel protetto, anche senza disporre delle dovute autorizzazioni.

Microsoft, informata della cosa, ha gettato acqua sul fuoco: l'azienda non ha ancora rilevato alcun exploit in grado di far leva sulla vulnerabilità e il rischio e classificato basso per l'utenza.

Per poter accedere al file in modo improprio, il cracker dovrebbe entrare in possesso di due copie del documento, pre e post modifica: per poter aggirare la protazione inoltre, la password dovrebbe rimanere immutata per i due documenti, così come il nome del file.Appvault.gif

Di tuttaltro avviso due esponenti di rilievo del settore security: Phil Zimmermann, creatore del sistema di crittazione a chiave asimmetrica PGP, ha classificato la minaccia come "altamente exploitabile, non solamente teorica" mentre Bruce Schneier ha commentato il problema come "un errore da [semplici] appassionati di crittografia".

Logo_office2003_medium.gif

In molti inoltre hanno ricordato che non è la prima volta che l'algoritmo RC4 utilizzato per la protezione di dati sensibili mostra debolezze di rilievo: già nel 1999 le chiavi di WinNT avevano mostrato lo stesso problema.

Ancora prima, anche Windows 95 era afflitto dallo stesso bug: all'epoca la chiave era addirittura statica, composta dallo username in maiuscolo e 20 byte di zeri...

Logo_office.gifNessuna patch si prospetta all'orizzonte: benchè siamo più propensi a valutare la falla di scarso rischio, raccomandiamo comunque di modificare sempre nome del file e password ad ogni salvataggio di un documento sensibile, e di affidarsi a soluzioni più robuste (quali PGP) per la protezione dei documenti riservati.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.13 sec.
    •  | Utenti conn.: 85
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0