Múlt héten hatalmas, a világ sok országát érintő zsarolóprogram támadást intéztek állami intézmények, kórházak, oktatási intézmények és vállalatok ellen is.
Az elmúlt hétvégén a különböző portálok ezt a támadássorozatot több - kevesebb sikerrel igyekeztek feldolgozni, mi most nem is ezzel a témakörrel foglalkozunk, hanem egy másik nagyon fontos kérdéskörrel, az érzékeny adatok védelmével.
Az alaptörténetünk:
2015 júniusában a Plymouth Egyetem egyik alkalmazottja véletlenül rossz e-mail címre küldött el egy táblázatot, amely 245 vezető beosztású alkalmazott fizetési, nyugdíj és juttatási adatait tartalmazta.
A hibát jelentették a brit információs biztos (ICO) felé, és azt is jelezték, hogy a fájlt töröltették a (téves) címzettel.
Így is hitték, egészen addig, amíg, a szóban forgó fájl egy ismeretlen forrás révén fel nem bukkant a közelmúltban a helyi újságnál.
Az egyetem azonnal reagált, és az ügyvédje az újságnak küldött üzenetében kérte, hogy ezt a dokumentumot, mivel nem az újságnak küldték, töröljék a dokumentummal kapcsolatos összes információt, és bejegyzést.
A fájl hirtelen újbóli megjelenése ugyanakkor egy biztonsági résre hívta fel a figyelmet, mégpedig arra, ami lehetővé tette, hogy mindez megtörténhessen ‒ a fájl nem volt titkosítva.
Feltéve, hogy a táblázat létrehozásához használt alkalmazás a Microsoft Excel egyik verziója volt, felmerül az az érdekes kérdés is, hogy ha használták volna a fájl elküldésekor az Office beépített titkosítási alkalmazását, azzal vajon meg tudták volna előzni azt, hogy a fájl tartalmához illetéktelenek is hozzáférjenek?
A Microsoft dokumentumok védelmével kapcsolatban akár félreértések is lehetnek, mert a lehetséges kétféle védelem, vagyis
- egyrészt az integrált dokumentum-titkosítás (amely lehetővé teszi a fájl tartalmának jelszóval történő védelmét),
- másrészt a dokumentum szerkesztésére vonatkozó védelem
könnyen összetéveszthető.
A dokumentum titkosításával kapcsolatos alapkérdés az, hogy a dokumentum titkosítása lehetetlenné teszi-e illetéktelenek hozzáférését a dokumentum tartalmához? Miért is? A probléma a jelszó megosztásában keresendő: vagy meg kell osztani, vagy tárolni kell valahol. Mindkét megoldás további biztonsági kérdéseket is vet fel. Ez a kérdéskör akkor válik akuttá, ha (mint kiinduló példánkban) a dokumentumot véletlenül harmadik fél számára teszik (pl. e-mail-ben) elérhetővé.
Az Office dokumentumok titkosításának időbeli fejlődése sem éppen segít(ett) a problémák megoldásában.
- A Microsoft az Office 97-2003 kiadásaiban a .doc, .xls és .ppt formátumot használta, valamit az úgynevezett kriptográfiai API-t (CryptoAPI).
- Az Office 2007-től kezdve a Microsoft alkalmazni kezdte az Open XML formátumú .docx, .xlsx, .pptx dokukumentum-szerkezeteket a CNG titkosítással (CryptoAPI Next Generation).
Ez a változtatás bizony kissé trükkössé teheti az Office egy régebbi kiadásban készült fájloknak egy újabb kiadás szerinti titkosításával történő küldését, ugyanis az Office kiadásokban nemcsak különböző fájlformátumokat, de különböző titkosítási rendszereket is használnak.
A Microsoft Office kiadásainak alapértelmezett titkosításai:
- Office 95, 97 és 2000 ‒ ezekről már ne is beszéljünk...
- Office 2002 és 2003 ‒ a nem biztonságos RC4 titkosítást használta, 128 bites kulccsal.
- Office 2007 ‒ AES-128 SHA-1 hash.
- Office 2010 ‒ AES-128 SHA-1 hash
- Office 2013 - AES-128, de SHA 2/512.
- Office 2016/365 - AES-256 SHA-2/512 kiegészítve Office 2007 CryptoAPI kompatibilitással.
- (Az Office 365 emellett transzparens módon titkosítja a fájlokat).
A fentieket összefoglalva, ha áttekintjük az Office kiadások titkosításainak bonyolult listáját, és a kiadások kompatibilitását, megállapíthatjuk, hogy az egyik oka annak, hogy a felhasználók nem használják a beépített titkosítást az, hogy eléggé átláthatatlan, és nehezen használható ez a rendszer.
Bárki bármit is tesz, vagy nem tesz a dokumentumai titkosítása érdekében, magától értetődik, hogy függetlenül az az Office dokumentumoknál használt titkosítási eljárástól, a titkosításhoz használt jelszavakra ugyanazok a szabályok vonatkoznak, mint a jelszavakra általában.
Végül állapítsuk meg azt, hogy csak az Office 2013-tól kínált titkosítási megoldásra érdemes támaszkodni, de általában igaz az, még a korábbi Office változatok elméleti gyengeségeit figyelembe véve is, hogy bármilyen titkosítás jobb a semminél. A Plymouth-iak ezt már megtapasztalhatták…
Utóirat: a kiberbiztonság kérdéseivel a Microsoft Secure Blog sok blogbejegyzésben foglalkozik, így a cikkünk által körbejárt témával kapcsolaban is talál az érdeklődő blogbejegyzéseket.