Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Bron: News.com

De heren van News.com weten te melden dat de schrijfbeveiliging voor Office-documenten middels een wachtwoord eenvoudig te verwijderen is met behulp van een hex editor. Als het document veranderd is kan de originele beveiliging weer teruggezet worden en is er naast de veranderde inhoud niets aan het bestand te zien dat erop wijst dat het toch gewijzigd is. Begin december heeft Microsoft in een Knowledge Base-artikel bekend gemaakt dat er helemaal geen probleem was, omdat het schrijfwachtwoord nooit bedoeld was als waterdichte beveiliging. Het was oorspronkelijk bedoeld om het per ongeluk overschrijven door anderen te voorkomen.

Om gebruikers die dit niet weten te waarschuwen is voor de duidelijkheid afgelopen vrijdag de tekst "When you are using the 'Password to Modify' feature, a malicious user may still be able to gain access to your password." toegevoegd aan het artikel in de Knowledge Base. Thorsten Delbrouck, hoofd van de informatieafdeling van Guardeonic Solutions, verwacht niet dat Microsoft dit probleem gaat oplossen. Daarvoor moet de structuur van de Office-documenten zo worden aangepast dat ze niet meer in oudere versies van Office te gebruiken zijn en dat is niet gewenst. Als mensen documenten tegen schrijven willen beschermen moeten ze digitale certificaten of Adobe Acrobat gebruiken, volgens David Bennie, Microsoft's marketing manager in het Verenigd Koninkrijk:

Microsoft Office 2003 vignet"If you are looking for secure encryption, you should not be using this feature. We have lots of customers out there using password protection, but the reason they are doing that is to stop general users changing the text or whatever--and it works perfectly well for that," Bennie said.
Moderatie-faq Wijzig weergave

Reacties (36)

Misschien voor de duidelijkheid: het gaat hier niet om passwords voor het openen van documenten, maar om het modificeren van beveiligde secties.
De procedure is dat je zo'n document opent, bewaart als html en dan ergens uit de html een value kan halen die je vervolgens in het doc zelf met een hexeditor kan gebruiken.
Het is nog veel eenvoudiger:
Kies vanuit Word 'new document', vervolgens 'insert file' om het beveiligde document in te voegen en je kunt het nu wel aanpassen :)
Ja, maar dan is het nieuwe bestand niet meer beveiligd met hetzelfde wachtwoord, en zie je dus dat ermee gerommeld is ;)
Klopt. Je zoekt in het html-bestand het encrypte wachtwoord en vervangt dat in het Word ducoment door hex 00000000.
Dan wijzig je het Word document en zet de het orginele encrypte wachtwoord weer terug
www.securityfocus.com/archive/1/348692/2004-01-02/2004-01-08/0
Wat een suffe reacties. Wat is nu het hele probleem? Het wachtwoord is gewoon een idiot proof methode om het per ongelukoverschrijven van content tegen te gaan. Ik kom nog geen enkele secretaresse die documenten aanvinkt als readonly dus gebruiken ze een wachtwoord.

Het heet niet voor Modify Password. Dus eventjes het artikel lezen alvorens in het wilde weg te praten over daadwerkelijke beveiliging van een document zoals die inderdaad aanwezig is bij Adobe.
Het probleem is dat de gebruikers een vals gevoel van veiligheid krijgen: "Er staat een wachtwoord op, dus helemaal niemand kan het meer wijzigen". Dit gaat mis als belangrijke informatie ongemerkt wordt gewijzigd met deze 'hack'-methode.
Tja, oud nieuws dunkt me. Alle wachtwoordbeveiligingen van Microsoft Office waren of te omzeilen of je kon ze met een Hex Editor gewoon uitlezen.

Zo ook de wachtwoorden op access databases en Excel bestanden.
"Begin december heeft Microsoft in een Knowledge Base-artikel bekend gemaakt dat er helemaal geen probleem was, omdat het schrijfwachtwoord nooit bedoeld was als waterdichte beveiliging. "

het is waarschijnlijk de grootste fout in it-land die gemaakt wordt en steeds herhaald wordt.

it-specialisten gaan steeds uit van wat iets zou moeten doen, waar het voor bedoeld is. Niet van wat het zou kunnen doen, zoals hackers denken.
Kan ik beamen. Een IT bedrijf waar ik gewerkt hebt ging er ook vanuit dat Access databases goed beveiligd zijn met een database password.
Het wachtwoord stond plain-text in de file. Het idee was nu dus om de database (voor zover je van een database mag spreken als we het over Access hebben...) te encrypten. Dit werkt dus ook middels een wachtwoord dat de 'encrypte' (stelde nog niet veel voor trouwens...) database ontcijferd in de Jet engine.
Erg leuk zou je denken. Je ziet byte-wise dingen anders in de file staan, maar het encryptie wachtwoord en het database wachtwoord zijn beiden plain-text (ten alletijden) te herleiden.
MS is in zijn office producten niet de enigste die het niet zo nauw neemt (denk aan Sybase en SQL Server) die een paar versies terug alles plain-text (incl. wachtwoorden) door een ethernet heen gooit.
(en zo kunnen we nog wel een paar koekblikken opentrekken :z)
Ik ken een situatie waarbij een leverancier naar alle klanten een cd stuurde met hierop een password-beveiligd ms-access bestand, naar gelang de juiste inlog kon een klant zijn kortingspercentages gebruiken in de (op de cd staande) producten index.
Wanneer je dit wachtwoord "kraakte" dan kon je van ALLE KLANTEN van dit bedrijf de kortingspercentages (en andere info) zien...

Schijn-veiligheid is de ergste vorm van veiligheid. Het is nog beter om NIET te beveiligen, dan slecht beveiligen. Want men is minder snel geneigd om bij een niet beveiligd document gevoelige informatie toe te voegen. Wanneer er wel een (slechte) beveiliging op zit, dan voelt men zich TE veilig en worden alle geheimen toevertrouwd aan (uiteindelijk) de kwaadwillende cracker.
Ik ben zelf niet zo'n Microsoft fan, zeker niet van Office produkten, maar de password protection van andere pakketten zoals bijv. Word Perfect is ook eenvoudig te omzeilen.

Als alternatief PDF gebruiken werkt ook niet, Elcomsoft heeft een geweldige password cracker gemaakt...
De beveiliging van openoffice.org is anders uitstekend :)

Microsoft heeft echt een slechte naam als het gaat over beveiliging. Het lijkt mij wel of het bedrijf zelfs haar best doet haar naam keer op keer laag te houden.

Opmerkelijk vind ik dan ook dat MS met de propaganda-term "trustworthy computing" is gekomen. Mijns inziens is de vertrouwenswaardigheid van de software van microsoft net zo hoog als die van het Microsoft zelf: ver onder het vriespunt.
Dan vind ik de "unbreakable" campagne van Oracle geloofwaardiger overkomen. Ik heb nog wel een leuk whitepaper van Oracle waarin leuk uitgehaald wordt naar de beveiligingsstrategie van Microsoft :) Voor de geinteresseerden: mail me maar :)
Ik snap niet dat dit op de Frontpage staat:

1. Het is al lang bekend
2. Het is er gewoon nooit voor bedoeld
3. Er zijn andere producten voor

Dit Topic schreeuwt om Flames :(
Het is al lang bekend
Ik vraag me eigenlijk af waarom microsoft er niets aan doet.
Het is er gewoon nooit voor bedoeld
Dan had microsft het niet moeten maken. Microsoft propageert altijd wel met hun features, dan zou het ook wel leuk zijn als ze hun klanten eens gaven wat ze beloofden.j Ik vind het walgelijk dat microsoft zo omgaat met klanten.
Er zijn andere producten voor
openoffice.org bijvoorbeeld
Het gaat hier om Schrijfprotectie,

Hoe zit het eigenlijk bij bestanden met leesprotectie? Is die ook zo triest?
Staat het ww in hex opgeslagen, of staat de hash van het wachtwoord in hex opgeslagen?

Als je alleen bij de hash kan dan is dat best suf, en dan kan de orginele auteur er niet meer bij: hij is zijn ww kwijt.
Als je bij het volledige wachtwoord kan dan is dat nog suffer omdat als je als "hacker" modificaties maakt dan heeft de orginele auteur niet in een keer door dat er dingen geweizigd zijn. De meeste mensen gebruiken maar 1 ww dus grote kans dat je iig bij alle andere beveiligde doc's kan, maar ook nog wel kan inloggen bij de e-mail.
Adobe Acrobat gebruiken
A ha! Een samenzwering tussen MS & Adobe dus!
Ja hoor :z

Toevallig is het .pdf formaat zo'n beetje het enige formaat wat op elk platform en binnen elk OS te lezen valt en wat te maken valt door verschillende programma's en dus niet alleen door Acrobat.

Hoe je er dan bijkomt dat er meteen weer een deal is tussen MS en Adobe weet ik niet, maar dat is wel erg ver gezocht. Adobe krijgt er geen extra inkomsten o.i.d. door als iedereen morgen besluit om alles in pdf's op te slaan.

Zo kan je in Openoffice standaard een document als pdf opslaan en zijn er tal van andere manieren om zonder Acrobat een pdf te maken. De aanbeveling van MS is dus een goede.
Toevallig is het .pdf formaat zo'n beetje het enige formaat wat op elk platform en binnen elk OS te lezen valt en wat te maken valt door verschillende programma's en dus niet alleen door Acrobat.
Heb je ooit gehoord van tekstbestanden (of HTML)?
voor een keer dat ze het niet integreren in het officepakket... ik bedoel, anders gaan ze weer zitten vitten dat ze ook die markt overnemen.... allo... ik geef MS deze keer gelijk
ook het gewone wachtwoord van Word (tot en met XP, normaalgezien; M$ zegt dat in Office 2003 wel encryptie toegepast wordt, maar dat heb ik nog niet kunnen testen :( ) is ook het wachtwoord voor het uitlezen heel makkelijk te achterhalen:
met www.lostpassword.com heb je de hele lijst tooltjes voor wachtenwoorden.

Persoonlijk verkies ik voor veiligheid WinRAR 3,30 (dus WinRAR 2.9/3-archief, met een geweldig goed encryptie dus)
WinZip-bestanden kunnen nog altijd redelijk goed gekraakt worden (zolang het standaard zip-bestanden zijn, dit geldt dus niet voor productspecifieke ZIPs (zoals de nieuwere ZIPs van WinZip en PKZip [die beiden trouwens een andere standaard gebruiken] )

[ik wil niet zeggen dat WinRar onfeilbaar is, maar de encryptie is veel beter dan die voor echte ZIP-bestanden]
Onder de geavanceerde eigenschappen bij het opslaan van je document kun je ook alternatieve encryptie selecteren. Met een 256-bits RSA key zit je redelijk veilig, dacht ik zo.

Dat de "standaard"-encryptie zo makkelijk te kraken is heeft natuurlijk als reden dat MS het nodig vind gebruikers tegen zichzelf te beschermen. En ergens hebben ze nog wel gelijk ook...
Was bij mij nog niet bekend :o : ik gebruikte altijd mijn CPU-tijd aan het achterhalen van het paswoord, terwijl ik het dus gewoon had kunnen omzeilen... }>
Als het goed zit word het wachtwoord voor leesprotectie niet opgeslagen in t document, maar word het volledige document met dit wachtwoord ge-encodeerd, en die kan dus alleen maar worder gedecodeerd als het juiste wachtwoord word ingevoert. Word een verkeerd wachtwoord ingevoert, dan mislukt de decodering, en daar komt Word snel genoeg achter. Dat is dus ongeveer het veiligst mogelijk op dit moment, en ik neem aan dat dit ook met Word documenten word gebruikt(vanaf Word95 oid)

Edit: dit was dus een reactie op Masteriiz ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True