Không có an ninh khi thiết kế: các định dạng của MS Office

Insecure by design: MS Office formats

July 27, 2009 - 11:41 A.M.

Steven J. Vaughan-Nichols

Cyber Cynic

Theo: http://blogs.computerworld.com/insecure_by_design_ms_office_formats

Bài được đưa lên Internet ngày: 27/07/2009

Lời người dịch: Về các định dạng tài liệu OOXML của Microsoft Office, tác giả viết: “Và, bất luận liệu bạn có đang sử dụng các định dạng Word 2.0 hay với các định dạng của 7,000 trang hỗn độn của 'tiêu chuẩn' ECMA – 376 Office Open XML của Office 2008, thì cũng sẽ không có được lớp an ninh mạng được xây dựng ở bên trong”. Vì thế “Đối với tôi, sự nguy hiểm này là nặng ký hơn nhiều bất ký ưu điểm nào của việc sử dụng các định dạng tài liệu của Microsoft. Điều đó giải thích vì sao, tôi sử dụng ODF và các chương trình như OpenOffice 3.1 mà hỗ trợ ODF. Và, vì sao, tôi không bao giờ tải các tài liệu của Microsoft Office từ Web và tự động xoá bất kỳ thông điệp thư điện tử nào mà chứa chúng”. Không rõ những người đang sử dụng OOXML có nghĩ tới vấn đề an ninh cho các tài liệu của họ hay không?

Tuần trước, Microsoft về cơ bản đã thừa nhận rằng kế hoạch của hãng để đưa các tài liệu của Office vào “hộp cát” trong Office 2010 là một sự bảo vệ tới cùng lần cuối chống lại những cuộc tấn công các định dạng của Microsoft Office một cách không ngưng nghỉ. Như John Pescatore, nhà phân tích an ninh hàng đầu của Gartner, đã nói cho phóng viên của ComputerWorld, Gregg Keizer, “Micrososft đang nói, 'OK, chúng tôi không thể tìm thấy, hãy để sửa, mọi chỗ có thể bị tổn thương. Vì thé đây là một cách để đặt một hộp cát xung quanh chỗ có thể bị tổn thương đó'”.

Không ngạc nhiên ở đây. Microsoft Office là một tập hợp các lỗ hổng về an ninh mà chúng giả dạng như một bộ phần mềm văn phòng. Tất nhiên, Microsoft đã không lên kế hoạch cho nó theo cách này. Họ chỉ đã không nghĩ tới nó khi mà họ lần đầu bắt đầu phát triển các định dạng sở hữu độc quyền của Office.

Bạn thấy đấy, Office, và Windows về vấn đề này, đã được thiết kế cho các hệ thống 01 người sử dụng duy nhất, không được kết nối mạng. Chúng đã không được thiết kế cho các môi trường với nhiều người sử dụng từ xa và cục bộ. Khi Microsoft đã bắt đầu làm việc với một vũ trụ các máy tính được nối mạng với Windows cho nhóm làm việc vào năm 1991, họ đã không thiết kế lại hệ thống này từ đáy lên. Không, quả thực, thay vào đó họ chỉ đơn giản đã bổ sung chức năng mạng, thường ở một mức thấp, mà không xem xét điều này có ý nghĩa gì cho an ninh.

Ngay cả khi Microsoft đã bổ sung kiến trúc khác, Windows NT được tạo cảm hứng từ VMS cho sự trộn lẫn hệ điều hành của hãng, thì các lập trình viên từ Redmond đã khăng khăng đưa vào tính tương thích cho các ứng dụng của Windows 2.x và Windows 3.x. Vì thế tính chỉ một người sử dụng duy nhất vẫn là nền tảng của Windows hầu hết 30 năm sau đó và với nó là sự không an ninh cơ bản của Windows và Office.

Đây là cách mà nó đã được thể hiện trong các định dạng tài liệu của Office. Microsoft đã muốn là dễ dàng như có thể cho những người sử dụng Windows của hãng để làm việc với các dữ liệu một cách minh bạch từ các tài liệu của một chương trình này sang chương trình khác. Đó là, và là, một tính năng. Đây là những gì cho phép bạn thiết lập trình diễn PowerPoint hoặc các tài liệu Word của bạn, ví dụ, để phản ánh các con số của bảng tính mới nhất của bạn từ một bảng tính Excel mà không có việc cắt dán chúng.

Last week, Microsoft essentially admitted that its plan to "sandbox" Office documents in Office 2010 is a last ditch defense against unstoppable Microsoft Office formats attacks. As John Pescatore, Gartner's primary security analyst, told ComputerWorld reporter, Gregg Keizer, "Microsoft is saying, 'Okay, we can't find, let alone fix, every vulnerability. So here's a way to put a sandbox around the vulnerability.'"

There's no surprise here. Microsoft Office is a set of security holes that masquerades as an office suite, Of course, Microsoft didn't plan it that way. They just didn't think it through when they first started developing Office's proprietary formats.

You see, Office, and Windows for that matter, were designed for single-user, non-networked systems. They were not designed for environments with multiple local or remote users. When Microsoft started dealing with a networked computer universe with Windows for Workgroups in 1991, they didn't redesign the system from the bottom up. No, indeed, instead they simply added network functionality, often at a low level, without considering what this meant for security.

Even when Microsoft added another architecture, the VMS-inspired Windows NT to its operating system mix, the programmers from Redmond insisted on including Windows 2.x and Windows 3.x application compatibility. So it is that this single-user mentality is still Windows' foundation almost 30-years later and with it comes Windows and Office's fundamental insecurity.

Here's how it's played out in Office's document formats. Microsoft wanted to make it as easy as possible for its Windows users to transparently trade data from one program's documents to another. This was, and is, a feature. It's what let you set up your PowerPoint presentation or Word documents, for example, to reflect your latest spreadsheet numbers from an Excel spreadsheet without having to copy and paste them.

Điều đó tuyệt vời. Miễn là khi bạn ở trong một môi trường nơi mà không có ai khác có thể truy cập được các dữ liệu của bạn, hoặc tại thời điểm này là trái tim của sự yếu kém về an ninh của các định dạng Office – những kết nối giữa các tài liệu. Trong năm 1991, không đưa ra bất kỳ sự xem xét nào cho những ảnh hưởng về an ninh của mình, Microsoft đã giới thiệu NetDDE (Trao đổi dữ liệu động cho mạng – NetDDE). Điều này đã làm cho nó có khả năng mở rộng các kết nối DDE trong mạng.

Kết nối NetDDE, như tôi đã chỉ ra, “đã làm cho có khả năng đối với nhiều người sử dụng để truy cập và nâng cấp các dữ liệu trong các tệp được chia sẻ. Hứa hẹn về dạng chia sẻ dữ liệu này hầu như là rất hạn chế. Bạn có thể, ví dụ, thiết lập một báo cáo bán hàng trong Word chứa các con số bán hàng được cập nhật một cách tự động từ một nửa tá các bảng tính Excel khác nhau nằm rải rác khắp hệ thống mạng”.

Tôi đã tiếp tục, “Đó là thông tin tốt lành. Thông tin tồi là việc NetDDE có thể được sử dụng mà không có an ninh. Tóm lại, không có những hạn chế về sử dụng, NetDDE có thể dễ dàng bị lạm dụng. Ví dụ, bạn có thể dễ dàng thiết lập một bảng tính báo cáo về lương của mọi người dưdaj trên các bảng tính cá nhân. NetDDE mang không chỉ sức mạnh mới cho Windows, mà nó còng nhắc nhở chúng ta rằng, như Lord Acton đã viết, sức mạnh có xu hướng tới sự phá huỷ và phá huỷ tuyệt đối bằng sức mạnh tuyệt đối”.

Trong năm 1991, tôi đã lo về việc mọi người trong mạng cục bộ ăn cắp các dữ liệu của những người khác. Những gì tôi đã không nhìn thấy trước là việc Microsoft có thể không bao giờ sửa chữa an ninh tài liệu của hãng. Trên thực tế, họ có thể làm cho nó còn tồi tệ hơn. Các tài liệu của Microsoft Office, nhờ vào một sự kết hợp của những thế hệ sau về NetDDE, như VBX, OCX và ActiveX, và đã dựa vào sự hỗ trợ cho các công cụ lập trình Officew như VBA (Visual Basic for Applications), hoàn toàn không thực sự là các tài liệu. Chúng thực sự chỉ là các chương trình không an ninh. Bạn thấy đấy, khi bạn mở một tài liệu Office này nay, bạn không chỉ mở các từ tĩnh, các hình ảnh, hoặc các con số. Bạn đang thực sự khởi động một chương trình mà nó sử dụng Microsoft Office như trình dịch của nó.

That's great. So long as you're in an environment where no one else can access your data, or-and this point is the heart of the Office formats' security weakness-the connections between documents. In 1991, without giving any consideration to its security implications, Microsoft introduced NetDDE (Network Dynamic Data Exchange). This made it possible to extend DDE links across the network.

NetDDE links, as I pointed out at the time, "made it possible for multiple users to access and update data on shared files. The promise of this kind of data sharing is almost unlimited. You could, for instance, set up a sales report in Word containing automatically updated sales figures from half a dozen different Excel spreadsheets scattered across the network."

I continued, "That's the good news. The bad news is that NetDDE can be used without security. In a nutshell, without usage restrictions, NetDDE can be easily abused. For example, you could easily set up a spreadsheet reporting on everyone's salary based on personnel's spreadsheets. NetDDE brings not only new power to Windows, it also reminds us that, as Lord Acton wrote, power tends to corrupt and absolute power corrupts absolutely."

In 1991, I was worried about people on the local area network snooping into other people's data. What I didn't foresee was that Microsoft would never fix its document security. In fact, they would make it even worse. Microsoft Office documents, thanks to a combination of the later generations of NetDDE, such as VBX, OCX and ActiveX, and baked in support for Office programming tools like Visual Basic for Applications, aren't really documents at all. They're really unsecured programs.

You see, when you're opening an Office document today, you're not just opening static words, images, or numbers. You're actually starting a program that uses Microsoft Office as its interpreter. And, no matter whether you're using Word 2,0 formats or the 2008's 7,000+ pages mis-mash of 'standard' ECMA-376 Office Open XML file formats, there is no built-in network security layer. Instead, there is a mis-mash of fixes for one problem or the other.

Và, bất luận liệu bạn có đang sử dụng các định dạng Word 2.0 hay với các định dạng của 7,000 trang hỗn độn của 'tiêu chuẩn' ECMA – 376 Office Open XML của Office 2008, thì cũng sẽ không có được lớp an ninh mạng được xây dựng ở bên trong.

Hộp cát, mà Microsoft giới thiệu trong Office 2010, cho các tài liệu của Office, là sự đầu hàng của Microsoft đối với những tin tặc. Ngắn gọn chấp nhận rằng họ đã thất bại một cách công khai và chuyển sang một tập hợp các định dạng hoàn toàn khác, ODF (định dạng tài liệu mở) an ninh hơn nhiều, tất cả điều Microsoft có thể làm là cung cấp một máy bán ảo, chỉ đọc, để cho phép bạn xem các tài liệu này từ các site khác. Tất nhiên, một khi bạn đã bắt đầu soạn thảo một tài liệu như vậy, bạn sẽ nằm ngoài cái hộp cát đó, và, một lần nữa, bạn có thể nghĩ bạn chỉ soạn thảo một tài liệu, nhưng bạn thực sự đang chạy một chương trình mà nó không an ninh từ thiết kế.

Khi Microsoft lần đầu tiên đã đưa ra cho người sử dụng 'tính năng' này, ưu điểm của nó là nó cho phép bạn giữ các dữ liệu đồng bộ giữa các tài liệu khác nhau và các dạng tài liệu khác nhau một cách trong suốt. Ngày nay, điều đó vẫn còn là ưu điểm của nó, như bây giờ, thay vì sống với khả năng của Joe đi xuống sảnh thấy Jacqueline quảng cáo nhiều là việc gián điệp trong bảng tính về lương của công ty, thì bạn phải sống với khả năng mỗi tài liệu của Microsoft đều chứa phần mềm độc hại.

Đối với tôi, sự nguy hiểm này là nặng ký hơn nhiều bất ký ưu điểm nào của việc sử dụng các định dạng tài liệu của Microsoft. Điều đó giải thích vì sao, tôi sử dụng ODF và các chương trình như OpenOffice 3.1 mà hỗ trợ ODF. Và, vì sao, tôi không bao giờ tải các tài liệu của Microsoft Office từ Web và tự động xoá bất kỳ thông điệp thư điện tử nào mà chứa chúng. Các định dạng tài liệu mở sẽ không chỉ tốt hơn vì chúng không bị kiểm soát chỉ bởi một công ty duy nhất, trong trường hợp này là các định dạng của Microsoft Office; chúng (ODF) sẽ luôn về cơ bản là an ninh hơn.

The sandbox, which Microsoft introduces in Office 2010, for Office documents, is Microsoft's surrender to crackers. Short of admitting that they've failed publicly and moving to an entirely different set of formats, say the far more secure ODF (Open Document Format), all Microsoft can do is provide a read-only, semi-virtual machine, to let you look at documents from other sites. Of course, once you've started editing such a document, you're out of the sandbox, and, once more, you may think you're just editing a document, but you're actually running a program that's insecure by design.

When Microsoft first gave users this 'feature,' its advantage was it let you transparently keep data synced up between different documents and different kinds of documents. Today, that's still its advantage, but now, instead of living with the possibility of Joe down the hall seeing how much Jacqueline in marketing is making by spying in the company payroll spreadsheet, you have to live with the possibility of every Microsoft document containing malware.

To me, this danger far outweighs any advantage of using Microsoft document formats. That's why, I use ODF and programs like OpenOffice 3.1 which support it. And, why, I never download Microsoft Office documents from the Web and automatically delete any e-mail messages that contain them. Open document formats aren't just better because they're not under the control of a single company, in the case of Microsoft's Office formats; they're also fundamentally more secure.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com