Segurança – Quebrando senhas de projetos VBA do Microsoft Office

Essa é uma informação um pouco perigosa, devo admitir. Ela compromete uma série de desenvolvedores de aplicativos baseados em VBA, principalmente no contexto de produto.

Mas como considero isso mais uma “falha” do que um “macete”, publicarei aqui a informação para registro e possíveis providências.

O lado bom

Os desenvolvedores VBA recorrem geralmente à proteção de seus projetos pelo mecanismo de proteção padrão oferecido pelo editor. Clicando com o botão direito sobre o projeto, selecione o opção VBAProject Properties (Propriedades do Projeto VBA):

Quebrando senha VBA

A seguinte janela será mostrada após a seleção da aba Protection (Proteção):

Quebrando senha VBA

Até aqui é o tradicional. Basta informar a senha nos dois campos e travar o projeto para visualização (lock project for viewing) que teremos nosso projeto VBA bloqueado para visualização e edição na próxima vez em que o arquivo for aberto.

O lado mau

Qualquer veterano na linguagem VBA sabe que existem uma série de programas que “quebram” as senhas destes projetos. Na verdade eles a sobrescrevem de alguma forma. O resultado é que os projetos, mesmo protegidos por senha ficam vulneráveis.

Geralmente estes softwares usam de artimanhas que vão desde a força bruta (tentativa e erro) ou eles entram mesmo no âmago do arquivo mexem no que não devem, substituindo assim a o dado devido.

Esses softwares são pagos na maioria das vezes, o que pelo menos caracteriza um pouco de profissionalismo por parte de seus fabricantes.

Concordo que em alguns casos existe o esquecimento por parte do autor, mas diria que este são a minoria. Geralmente alguém que tem conhecimento em VBA suficiente para construir um projeto que precisa ser protegido por senha, costuma ser organizado com este tipo de coisa. Temos uma outra situação onde empresas geralmente sofrem com funcionários de má fé que vão embora e largam arquivos bloqueados.

Estes são os únicos casos em que vejo necessidade da existência deste tipo de aplicativo, pois trata-se de cuidar da propriedade intectual do proprietário do código fonte.

Tirando isso, o resto pode ser caracterizado como violação de propriedade.

Bom, posto isso, vem aí a má notícia.

Quebrando o projeto VBA

É um pouco assustador, mas vamos lá.

Para ter acesso ao código de um projeto VBA, é fácil e barato. Basta baixar o Open Office neste endereço:

http://www.broffice.org/download

Para quem não sabe, o Open Office é uma suíte de aplicativos de escritório concorrente do Microsoft Office, assim como o Star Office. Não vou discutir as capacidades do Open Office, além da importante característica que ele possui de também ter disponível um suíte de programação muito semelhante ao VBA, também baseada no Visual Basic, capaz de construir aplicações da mesma forma.

Quando você abre um arquivo do Excel ou Word no aplicativos respectivos no Open Office (Calc e Writer), você tem acesso a todo o conteúdo do arquivo da mesma forma, bem como a todo o projeto VBA, incluindo módulos e formulários.

Muito bem, isso tudo é muito bom pois significa uma compatibilidade quase que universal entre arquivos e aplicativos. Com isso não seria necessário conversões na hora de trocar arquivos com outros sistemas.

O problema é que o Open Office abre o projeto em VBA, mesmo que ele esteja protegido por senha.

isso dá a qualquer um acesso completo a todo o código do projeto.

Não há como demonstrar isso aqui, mas para testar:

  • crie um novo arquivo no Excel ou Word
  • abra o VBA
  • adicione alguns módulos e formulários
  • adicione alguns controles a estes formulários e alguns códigos simples
  • depois disso, proteja o projeto com senha e bloqueie-o para visualização (como mostrado acima)
  • salve e feche o arquivo
  • abra-o novamente no Microsoft Office para certificar-se de que o projeto está mesmo bloqueado para visualização
  • após certificar-se, abra o Open Office Calc para abrir o arquivo de Excel ou o Open Office Calc para o abrir o arquivo do Word
  • através do menu ferramentas, abra a tela de macros e selecione um objeto do projeto VBA e clique em editar para visualizar o código

Seguindo estes passos fica provado o fato do acesso extremamente facilitado ao projeto VBA através de um software livre e gratuito.

Conclusões e comentários

Contra a tecnologia não há nada que se possa fazer. Pelo menos com aquilo que veio da tecnologia.

Não dá para saber de quem é a culpa, se é que há algum culpado nesta história.

Da Microsoft por não promover um esquema de segurança mais eficaz?

Da fundação Open Office por não respeitar o esquema de segurança promovido pelo Microsoft Office?

Eu tenho minha opinião. Fica aqui o protesto pelo fato e o agradecimento a blogosfera por permitir descobrir e divulgar a informação.

Abraços

Tomás

Comentários

comentários