[Tech] La password di 'protezione da modifica' di Word? Facilmente violabile

Come noto, in Microsoft Word è possibile attivare sui documenti due diverse password di protezione: una impedisce tout court l'apertura del documento a chi ne è sprovvisto, l'altra permette l'apertura del documento ma impedisce di salvare le eventuali modifiche apportate.



Ora è nata una polemica (certo non la prima, in questi anni) sulla sicurezza della "password to modify", quella, per l'appunto, che permette ai possessori di salvare le modifiche al documento.



Thorsten Delbrouck, chief information officer di Guardeonic Solutions, una sussidiaria tedesca di Infineon Technologies, ha segnalato il problema a Microsoft lo scorso novembre (!):

Known as the Password to Modify feature, the password-protection mechanism in Microsoft Word can be bypassed, disabled or deleted with the help of a simple programming tool called a hex editor. The hack does not leave a trace, meaning an unauthorized user could remove the password protection from a document, edit it and replace the original password.

Particolarmente gustosa la risposta di Microsoft:

In a Knowledge Base article published in early December, Microsoft denied there was a problem because, the company said, the password-protection feature is not intended to provide "fool-proof protection for tampering or spoofing," but is "merely a functionality to prevent accidental changes of a document."

Insomma, più o meno tutto come ai vecchi tempi, quando Microsoft replicava alle lamentele dei clienti rispondendo "It's not a bug, it's a feature".



Delbrouck osserva però che la "feature" in questione può comportare grossi problemi legali, soprattutto per le aziende.

However, Microsoft's assertions were questioned by Delbrouck, who said the feature poses serious legal implications for companies. He explained that one of his company's hardware suppliers is Dell, which e-mails its quotes on a protected Word document. What happens, asked Delbrouck, if Dell sends him an offer, he uses the hack to modify the offer in his favor, then signs it and faxes it back?



"We would probably end up in court and an expert would probably look at the original document and say, 'this document is protected by a password that the customer could not have known. It has not been modified because the protection is still active and the document still has its original password,'" Delbrouck said.

Dopo che la segnalazione di Delbrouck è stata ripresa e resa pubblica da un sito Web che si occupa di sicurezza e di hacking, Microsoft ha aggiornato la sua Knowledge Base aggiungendo questo avvertimento:

"When you are using the 'Password to Modify' feature, a malicious user may still be able to gain access to your password."

Sic.



Secondo Delbrouck il problema non ha soluzione: il consiglio che dà alle aziende che inviano in Rete informazioni "critiche" è di usare un formato di file diverso, come il .PDF di Adobe Acrobat (ora la suite open source OpenOffice 1.1, compatibile coi formati file di Microsoft Office, permette l'esportazione diretta e immediata in formato .PDF di documenti di testo, presentazioni e fogli di calcolo senza richiedere l'installazione sul proprio PC del software a pagamento di Adobe) e/o di fare ricorso alla firma digitale dei documenti al fine di garantirsi da modifiche indesiderate.



Senza volere rigirare a tutti i costi il coltello nella piaga, non posso fare a meno di ricordare che alcuni (tanti, ormai) anni fa, più o meno ai tempi del rilascio di Windows 95, Microsoft dava già chiari segnali di quale fosse la priorità assegnata alla sicurezza dei suoi applicativi.



Quando si usano le password il rischio, naturalmente, è quello di dimenticarsele e di ritrovarsi con un documento di testo, un database (argh) o un foglio elettronico bloccato, pur essendone i legittimi proprietari.



All'epoca Microsoft veniva incontro ai suoi utenti anche in questo modo: pubblicando su di un suo sito ufficiale una piccola macro di Excel che in sostanza serviva a... sbloccare le cartelle di Excel protette da una password ormai dimenticata.



Utilissimo per i legittimi proprietari, certo, ma che dire dei possibili usi illegali di un simile passepartout?



Questo tanto per dare un'idea di che tempi "naive" (stasera mi sento particolarmente generoso) fossero quelli...



Fonte: News.com.