Arquivo da categoria: Segurança

Dicas e alertas sobre segurança nas andanças da internet.

Segurança, VBA

Segurança – Quebrando senhas de projetos VBA do Microsoft Office

35 Comentários

Essa é uma informação um pouco perigosa, devo admitir. Ela compromete uma série de desenvolvedores de aplicativos baseados em VBA, principalmente no contexto de produto.

Mas como considero isso mais uma “falha” do que um “macete”, publicarei aqui a informação para registro e possíveis providências.

O lado bom

Os desenvolvedores VBA recorrem geralmente à proteção de seus projetos pelo mecanismo de proteção padrão oferecido pelo editor. Clicando com o botão direito sobre o projeto, selecione o opção VBAProject Properties (Propriedades do Projeto VBA):

Quebrando senha VBA

A seguinte janela será mostrada após a seleção da aba Protection (Proteção):

Quebrando senha VBA

Até aqui é o tradicional. Basta informar a senha nos dois campos e travar o projeto para visualização (lock project for viewing) que teremos nosso projeto VBA bloqueado para visualização e edição na próxima vez em que o arquivo for aberto.

O lado mau

Qualquer veterano na linguagem VBA sabe que existem uma série de programas que “quebram” as senhas destes projetos. Na verdade eles a sobrescrevem de alguma forma. O resultado é que os projetos, mesmo protegidos por senha ficam vulneráveis.

Geralmente estes softwares usam de artimanhas que vão desde a força bruta (tentativa e erro) ou eles entram mesmo no âmago do arquivo mexem no que não devem, substituindo assim a o dado devido.

Esses softwares são pagos na maioria das vezes, o que pelo menos caracteriza um pouco de profissionalismo por parte de seus fabricantes.

Concordo que em alguns casos existe o esquecimento por parte do autor, mas diria que este são a minoria. Geralmente alguém que tem conhecimento em VBA suficiente para construir um projeto que precisa ser protegido por senha, costuma ser organizado com este tipo de coisa. Temos uma outra situação onde empresas geralmente sofrem com funcionários de má fé que vão embora e largam arquivos bloqueados.

Estes são os únicos casos em que vejo necessidade da existência deste tipo de aplicativo, pois trata-se de cuidar da propriedade intectual do proprietário do código fonte.

Tirando isso, o resto pode ser caracterizado como violação de propriedade.

Bom, posto isso, vem aí a má notícia.

Quebrando o projeto VBA

É um pouco assustador, mas vamos lá.

Para ter acesso ao código de um projeto VBA, é fácil e barato. Basta baixar o Open Office neste endereço:

http://www.broffice.org/download

Para quem não sabe, o Open Office é uma suíte de aplicativos de escritório concorrente do Microsoft Office, assim como o Star Office. Não vou discutir as capacidades do Open Office, além da importante característica que ele possui de também ter disponível um suíte de programação muito semelhante ao VBA, também baseada no Visual Basic, capaz de construir aplicações da mesma forma.

Quando você abre um arquivo do Excel ou Word no aplicativos respectivos no Open Office (Calc e Writer), você tem acesso a todo o conteúdo do arquivo da mesma forma, bem como a todo o projeto VBA, incluindo módulos e formulários.

Muito bem, isso tudo é muito bom pois significa uma compatibilidade quase que universal entre arquivos e aplicativos. Com isso não seria necessário conversões na hora de trocar arquivos com outros sistemas.

O problema é que o Open Office abre o projeto em VBA, mesmo que ele esteja protegido por senha.

isso dá a qualquer um acesso completo a todo o código do projeto.

Não há como demonstrar isso aqui, mas para testar:

  • crie um novo arquivo no Excel ou Word
  • abra o VBA
  • adicione alguns módulos e formulários
  • adicione alguns controles a estes formulários e alguns códigos simples
  • depois disso, proteja o projeto com senha e bloqueie-o para visualização (como mostrado acima)
  • salve e feche o arquivo
  • abra-o novamente no Microsoft Office para certificar-se de que o projeto está mesmo bloqueado para visualização
  • após certificar-se, abra o Open Office Calc para abrir o arquivo de Excel ou o Open Office Calc para o abrir o arquivo do Word
  • através do menu ferramentas, abra a tela de macros e selecione um objeto do projeto VBA e clique em editar para visualizar o código

Seguindo estes passos fica provado o fato do acesso extremamente facilitado ao projeto VBA através de um software livre e gratuito.

Conclusões e comentários

Contra a tecnologia não há nada que se possa fazer. Pelo menos com aquilo que veio da tecnologia.

Não dá para saber de quem é a culpa, se é que há algum culpado nesta história.

Da Microsoft por não promover um esquema de segurança mais eficaz?

Da fundação Open Office por não respeitar o esquema de segurança promovido pelo Microsoft Office?

Eu tenho minha opinião. Fica aqui o protesto pelo fato e o agradecimento a blogosfera por permitir descobrir e divulgar a informação.

Abraços

Tomás

Segurança, Tecnologia, Web

Web – Falha em WordPress permitiria redefinir senhas

2 Comentários

Fonte: Yahoo Notícias

Os criadores da popular ferramenta de blogs WordPress recomendaram que todos os usuários de sua ferramenta baixem e instalem a nova atualização do sistema, 2.6.2.

Segundo o site heise Security, todas as versões anteriores, incluindo a 2.6.1, traziam um erro que permitia que, em sites com registro aberto, criar um usuário que sobrescrevesse a senha de outro usuário já existente baseado em um valor aleatório.

Além da confusão, o problema poderia se tornar mais grave graças a uma falha do método aleatório usado pelo sistema, que permitiria prever as senhas geradas aleatoriamente e assim descobrir as novas credenciais de um usuário com privilégios elevados, por exemplo.

Os desenvolvedores do WordPress garantiram que o ataque é de alto nível de dificuldade, mas por causa do risco uma atualização foi rapidamente preparada, noticiou o site ZDNet, acrescentando que o erro é um problema do PHP, a linguagem na qual o WordPress foi escrita, e outras aplicações podem estar vulneráveis.

A nova versão pode ser baixada no endereço wordpress.org e usuários do serviço gratuito WordPress.com não precisam se preocupar com instalação.

Microsoft Office, Segurança, Word

Bug no Word XP abre o PC do usuário

Fonte: INFO

Atenção usuários do Office XP!

Uma falha no Word 2002 (XP) Service Pack 3 permite a execução remota de código na máquina do usuário.

A vulnerabilidade decorre de um erro ainda não especificado que provoca a corrupção de memória ao abrir documentos especialmente preparados. Segundo a Microsoft, a brecha já vem sendo utilizada em ataques. A empresa diz que, segundo seus testes preliminares, nenhuma das outras versões do Word e do Word Viewer apresenta a falha.

Enquanto não publica uma correção, a empresa recomenda aos usuários do Word 2002 o uso do Word 2003 Viewer na hora de ler documentos de origem externa. O Viewer é um produto gratuito e pode ser baixado neste endereço.

Tomás Vásquez
www.tomasvasquez.com.br

Dicas, Segurança, Tecnologia, Web

Pilantragem sofisticada

Estou ficando cada vez mais impressionado com a criatividade dos spammers que qualquer internauta tem que enfrentar todos os dias. Sabemos que os filtros anti-spam fazem o possível, mas alguns escapam mesmo, tamanha sua qualidade.

Recebi um email daqueles bem tradicionais, simulando um super-interesse em minha pessoa oferecendo algumas fotos para visualização e um link para tal. Legal, até aí tudo simples e fácil de identificar. Geralmente links como esses levariam diretamente a arquivos do tipo zip, exe ou scr, todos capazes de se auto-executar para instalar alguma coisa nociva no computador. A lista do que poderia ser é enorme, desde vírus, spyware até os temidos keylogger, programas que gravam tudo que é digitado no computador e enviam para algum servidor. Mas neste caso o link estava apontando para um arquivo html. Claro que este poderia estar recheado de scripts de redirecionamento e coisas do tipo, mas como meu browser está configurado para não aceitar esse tipo de coisa, fui tentado a clicar para ver o que esses caras estão aprontando desta vez.

O link leva a uma página que “deveria” ser um album de fotos, mas que não pode ser aberto pois “falta” um componente que deve ser intalado, neste caso, o flashplayer. página está com uma aparência até legal e o arquivo que se convida para baixar tem o nome de FlashPlayerInstall.exe. Tudo do jeito que tem que ser para o usuário clicar e instalar. A aparência da página pode ser vista abaixo. Note o endereço apontado pelo link (na barra de status do navegador) e a mensagem de recomendação para instalação do arquivo:

Mensagem sobre falta de instalação do Player

Página falsa para instalação do flash player

Eu diria que é um esquema muito engenhoso e digno que um mínimo de admiração. Claro que passada a admiração, é preciso uma providência para acabar com este tipo de fraude.

Partindo da opinião deste autor que vos escreve, a boa conduta na navegação por páginas de internet é a melhor opção evitar este tipo de fraude. As vítimas são na maior parte das vezes pessoas desinformadas que começaram a pouco tempo a trabalhar com internet, mas que por pouco tem suas contas bancárias esvaziadas por pessoas de má fé.

Atenção aos jovens prodígios que ficam horas navegando na internet, passeando pelo MSN e Orkut e já se acham os hackers. Primeiro não caiam em um truque banal como este. Segundo, passem a informação adiante para que pais e avós não passem por uma situação destas.

Tomás Vásquez
www.tomasvasquez.com.br