Không có an ninh khi thiết kế: các định dạng của MS Office

Insecureby design: MS Office formats

July 27, 2009 - 11:41A.M.

StevenJ. Vaughan-Nichols

Cyber Cynic

Theo:http://blogs.computerworld.com/insecure_by_design_ms_office_formats

Bài được đưa lênInternet ngày: 27/07/2009

Lờingười dịch: Về các định dạng tài liệu OOXML củaMicrosoft Office, tác giả viết: “Và, bất luận liệu bạncó đang sử dụng các định dạng Word 2.0 hay với cácđịnh dạng của 7,000 trang hỗn độn của 'tiêu chuẩn'ECMA – 376 Office Open XML của Office 2008, thì cũng sẽ khôngcó được lớp an ninh mạng được xây dựng ở bêntrong”. Vì thế “Đối với tôi, sự nguy hiểm này lànặng ký hơn nhiều bất ký ưu điểm nào của việc sửdụng các định dạng tài liệu của Microsoft. Điều đógiải thích vì sao, tôi sử dụng ODF và các chương trìnhnhư OpenOffice 3.1 mà hỗ trợ ODF. Và, vì sao, tôi không baogiờ tải các tài liệu của Microsoft Office từ Web và tựđộng xoá bất kỳ thông điệp thư điện tử nào màchứa chúng”. Không rõ những người đang sử dụng OOXMLcó nghĩ tới vấn đề an ninh cho các tài liệu của họhay không?

Tuần trước,Microsoft về cơ bản đã thừa nhận rằng kế hoạch củahãng để đưa các tài liệu của Office vào “hộp cát”trong Office 2010 là một sự bảo vệ tới cùng lần cuốichống lại những cuộc tấn công các định dạng củaMicrosoft Office một cách không ngưng nghỉ. Như JohnPescatore, nhà phân tích an ninh hàng đầu của Gartner, đãnói cho phóng viên của ComputerWorld, Gregg Keizer, “Micrososftđang nói, 'OK, chúng tôi không thể tìm thấy, hãy đểsửa, mọi chỗ có thể bị tổn thương. Vì thé đây làmột cách để đặt một hộp cát xung quanh chỗ có thểbị tổn thương đó'”.

Không ngạc nhiên ởđây. Microsoft Office là một tập hợp các lỗ hổng vềan ninh mà chúng giả dạng như một bộ phần mềm vănphòng. Tất nhiên, Microsoft đã không lên kế hoạch cho nótheo cách này. Họ chỉ đã không nghĩ tới nó khi mà họlần đầu bắt đầu phát triển các định dạng sở hữuđộc quyền của Office.

Bạnthấy đấy, Office, và Windows về vấn đề này, đã đượcthiết kế cho các hệ thống 01 người sử dụng duy nhất,không được kết nối mạng. Chúng đã không được thiếtkế cho các môi trường với nhiều người sử dụng từxa và cục bộ. Khi Microsoft đã bắt đầu làm việc vớimột vũ trụ các máy tính được nối mạng với Windowscho nhóm làm việc vào năm 1991, họ đã không thiết kếlại hệ thống này từ đáy lên. Không, quả thực, thayvào đó họ chỉ đơn giản đã bổ sung chức năng mạng,thường ở một mức thấp, mà không xem xét điều này cóý nghĩa gì cho an ninh.

Ngaycả khi Microsoft đã bổ sung kiến trúc khác, Windows NT đượctạo cảm hứng từ VMS cho sự trộn lẫn hệ điều hànhcủa hãng, thì các lập trình viên từ Redmond đã khăngkhăng đưa vào tính tương thích cho các ứng dụng củaWindows 2.x và Windows 3.x. Vì thế tính chỉ một người sửdụng duy nhất vẫn là nền tảng của Windows hầu hết 30năm sau đó và với nó là sự không an ninh cơ bản củaWindows và Office.

Đây là cách mà nóđã được thể hiện trong các định dạng tài liệu củaOffice. Microsoft đã muốn là dễ dàng như có thể cho nhữngngười sử dụng Windows của hãng để làm việc với cácdữ liệu một cách minh bạch từ các tài liệu của mộtchương trình này sang chương trình khác. Đó là, và là,một tính năng. Đây là những gì cho phép bạn thiết lậptrình diễn PowerPoint hoặc các tài liệu Word của bạn, vídụ, để phản ánh các con số của bảng tính mới nhấtcủa bạn từ một bảng tính Excel mà không có việc cắtdán chúng.

Lastweek, Microsoft essentially admitted that its plan to "sandbox"Office documents in Office 2010 is a last ditch defense againstunstoppable Microsoft Office formats attacks. As John Pescatore,Gartner's primary security analyst, told ComputerWorld reporter,Gregg Keizer, "Microsoft is saying, 'Okay, we can't find, letalone fix, every vulnerability. So here's a way to put a sandboxaround the vulnerability.'"

There'sno surprise here. Microsoft Office is a set of security holes thatmasquerades as an office suite, Of course, Microsoft didn't plan itthat way. They just didn't think it through when they first starteddeveloping Office's proprietary formats.

Yousee, Office, and Windows for that matter, were designed forsingle-user, non-networked systems. They were not designed forenvironments with multiple local or remote users. When Microsoftstarted dealing with a networked computer universe with Windowsfor Workgroups in 1991, they didn't redesign the system f-rom thebottom up. No, indeed, instead they simply added networkfunctionality, often at a low level, without considering what thismeant for security.

Evenwhen Microsoft added another architecture, the VMS-inspiredWindows NT to its operating system mix, the programmers f-romRedmond insisted on including Windows 2.x and Windows 3.x applicationcompatibility. So it is that this single-user mentality is stillWindows' foundation almost 30-years later and with it comes Windowsand Office's fundamental insecurity.

Here'show it's played out in Office's document formats. Microsoft wanted tomake it as easy as possible for its Windows users to transparentlytrade data f-rom one program's documents to another. This was, and is,a feature. It's what let you set up your PowerPoint presentation orWord documents, for example, to reflect your latest spreadsheetnumbers f-rom an Excel spreadsheet without having to copy and pastethem.

Điều đó tuyệt vời.Miễn là khi bạn ở trong một môi trường nơi mà khôngcó ai khác có thể truy cập được các dữ liệu củabạn, hoặc tại thời điểm này là trái tim của sự yếukém về an ninh của các định dạng Office – những kếtnối giữa các tài liệu. Trong năm 1991, không đưa ra bấtkỳ sự xem xét nào cho những ảnh hưởng về an ninh củamình, Microsoft đã giới thiệu NetDDE (Trao đổi dữ liệuđộng cho mạng – NetDDE). Điều này đã làm cho nó cókhả năng mở rộng các kết nối DDE trong mạng.

Kết nối NetDDE, nhưtôi đã chỉ ra, “đã làm cho có khả năng đối vớinhiều người sử dụng để truy cập và nâng cấp các dữliệu trong các tệp được chia sẻ. Hứa hẹn về dạngchia sẻ dữ liệu này hầu như là rất hạn chế. Bạn cóthể, ví dụ, thiết lập một báo cáo bán hàng trong Wordchứa các con số bán hàng được cập nhật một cách tựđộng từ một nửa tá các bảng tính Excel khác nhau nằmrải rác khắp hệ thống mạng”.

Tôi đã tiếp tục,“Đó là thông tin tốt lành. Thông tin tồi là việcNetDDE có thể được sử dụng mà không có an ninh. Tómlại, không có những hạn chế về sử dụng, NetDDE cóthể dễ dàng bị lạm dụng. Ví dụ, bạn có thể dễdàng thiết lập một bảng tính báo cáo về lương củamọi người dưdaj trên các bảng tính cá nhân. NetDDE mangkhông chỉ sức mạnh mới cho Windows, mà nó còng nhắc nhởchúng ta rằng, như Lord Acton đã viết, sức mạnh có xuhướng tới sự phá huỷ và phá huỷ tuyệt đối bằngsức mạnh tuyệt đối”.

Trong năm 1991, tôi đãlo về việc mọi người trong mạng cục bộ ăn cắp cácdữ liệu của những người khác. Những gì tôi đã khôngnhìn thấy trước là việc Microsoft có thể không bao giờsửa chữa an ninh tài liệu của hãng. Trên thực tế, họcó thể làm cho nó còn tồi tệ hơn. Các tài liệu củaMicrosoft Office, nhờ vào một sự kết hợp của những thếhệ sau về NetDDE, như VBX, OCX và ActiveX, và đã dựa vàosự hỗ trợ cho các công cụ lập trình Officew như VBA(Visual Basic for Applications), hoàn toàn không thực sự làcác tài liệu. Chúng thực sự chỉ là các chương trìnhkhông an ninh. Bạn thấy đấy, khi bạn mở một tài liệuOffice này nay, bạn không chỉ mở các từ tĩnh, các hìnhảnh, hoặc các con số. Bạn đang thực sự khởi độngmột chương trình mà nó sử dụng Microsoft Office như trìnhdịch của nó.

That'sgreat. So long as you're in an environment whe-re no one else canaccess your data, or-and this point is the heart of the Officeformats' security weakness-the connections between documents. In1991, without giving any consideration to its security implications,Microsoft introduced NetDDE (Network Dynamic Data Exchange). Thismade it possible to extend DDE links across the network.

NetDDElinks, as I pointed out at the time, "made it possible formultiple users to access and up-date data on shared files. The promiseof this kind of data sharing is almost unlimited. You could, forinstance, set up a sales report in Word containing automaticallyup-dated sales figures f-rom half a dozen different Excel spreadsheetsscattered across the network."

Icontinued, "That's the good news. The bad news is that NetDDEcan be used without security. In a nutshell, without usagerestrictions, NetDDE can be easily abused. For example, you couldeasily set up a spreadsheet reporting on everyone's salary based onpersonnel's spreadsheets. NetDDE brings not only new power toWindows, it also reminds us that, as Lord Acton wrote, power tends tocorrupt and absolute power corrupts absolutely."

In1991, I was worried about people on the local area network snoopinginto other people's data. What I didn't foresee was that Microsoftwould never fix its document security. In fact, they wouldmake it even worse. Microsoft Office documents, thanks to acombination of the later generations of NetDDE, such as VBX, OCX andActiveX, and baked in support for Office programming tools likeVisual Basic for Applications, aren't really documents at all.They're really unsecured programs.

Yousee, when you're opening an Office document today, you're not justopening static words, images, or numbers. You're actually starting aprogram that uses Microsoft Office as its interpreter. And,no matter whether you're using Word 2,0 formats or the 2008's 7,000+pages mis-mash of 'standard'ECMA-376 Office Open XML file formats, there is no built-innetwork security layer. Instead, there is a mis-mash of fixes for oneproblem or the other.

Và,bất luận liệu bạn có đang sử dụng các định dạngWord 2.0 hay với các định dạng của 7,000 trang hỗn độncủa 'tiêu chuẩn' ECMA – 376 Office Open XML của Office 2008,thì cũng sẽ không có được lớp an ninh mạng được xâydựng ở bên trong.

Hộp cát, mà Microsoftgiới thiệu trong Office 2010, cho các tài liệu của Office,là sự đầu hàng của Microsoft đối với những tin tặc.Ngắn gọn chấp nhận rằng họ đã thất bại một cáchcông khai và chuyển sang một tập hợp các định dạnghoàn toàn khác, ODF (định dạng tài liệu mở) an ninh hơnnhiều, tất cả điều Microsoft có thể làm là cung cấpmột máy bán ảo, chỉ đọc, để cho phép bạn xem cáctài liệu này từ các site khác. Tất nhiên, một khi bạnđã bắt đầu soạn thảo một tài liệu như vậy, bạnsẽ nằm ngoài cái hộp cát đó, và, một lần nữa, bạncó thể nghĩ bạn chỉ soạn thảo một tài liệu, nhưngbạn thực sự đang chạy một chương trình mà nó khôngan ninh từ thiết kế.

Khi Microsoft lần đầutiên đã đưa ra cho người sử dụng 'tính năng' này, ưuđiểm của nó là nó cho phép bạn giữ các dữ liệu đồngbộ giữa các tài liệu khác nhau và các dạng tài liệukhác nhau một cách trong suốt. Ngày nay, điều đó vẫncòn là ưu điểm của nó, như bây giờ, thay vì sống vớikhả năng của Joe đi xuống sảnh thấy Jacqueline quảngcáo nhiều là việc gián điệp trong bảng tính về lươngcủa công ty, thì bạn phải sống với khả năng mỗi tàiliệu của Microsoft đều chứa phần mềm độc hại.

Đốivới tôi, sự nguy hiểm này là nặng ký hơn nhiều bấtký ưu điểm nào của việc sử dụng các định dạng tàiliệu của Microsoft. Điều đó giải thích vì sao, tôi sửdụng ODF và các chương trình như OpenOffice 3.1 mà hỗ trợODF. Và, vì sao, tôi không bao giờ tải các tài liệu củaMicrosoft Office từ Web và tự động xoá bất kỳ thôngđiệp thư điện tử nào mà chứa chúng. Các địnhdạng tài liệu mở sẽ không chỉ tốt hơn vì chúng khôngbị kiểm soát chỉ bởi một công ty duy nhất, trong trườnghợp này là các định dạng của Microsoft Office; chúng(ODF) sẽ luôn về cơ bản là an ninh hơn.

Thesandbox, which Microsoft introduces in Office2010, for Office documents, is Microsoft's surrender to crackers.Short of admitting that they've failed publicly and moving to anentirely different set of formats, say the far more secure ODF(Open Document Format), all Microsoft can do is provide aread-only, semi-virtual machine, to let you look at documents f-romother sites. Of course, once you've started editing such a document,you're out of the sandbox, and, once more, you may think you're justediting a document, but you're actually running a program that'sinsecure by design.

WhenMicrosoft first gave users this 'feature,' its advantage was it letyou transparently keep data synced up between different documents anddifferent kinds of documents. Today, that's still its advantage, butnow, instead of living with the possibility of Joe down the hallseeing how much Jacqueline in marketing is making by spying in thecompany payroll spreadsheet, you have to live with the possibility ofevery Microsoft document containing malware.

Tome, this danger far outweighs any advantage of using Microsoftdocument formats. That's why, I use ODF and programs like OpenOffice3.1 which support it. And, why, I never download Microsoft Officedocuments f-rom the Web and automatically de-lete any e-mail messagesthat contain them. Open document formats aren't just better becausethey're not under the control of a single company, in the case ofMicrosoft's Office formats; they're also fundamentally more secure.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com