Attacco brutale a Office

Bastano pochi clic per "aprire" un file Word protetto da password. Ecco come fare




Brutte nuove per i maniaci della privacy: non basta una password per proteggere un documento Word da occhi indiscreti. Chiunque può aprirlo con pochi semplici clic. Tradotto in soldoni significa che la cifratura standard a 40bit di un file Word (quella preimpostata di default su quasi tutte le versioni del noto software) non è sicura. Com'è noto basta impostare una password per vietare la lettura del documento a chi non è autorizzato: alla luce degli ultimi fatti questo è vero solo in teoria.

La questione, nota da tempo sul web, è tornata prepotentemente agli onori della cronaca informatica grazie a decryptum.com, un nuovo servizio che permette di "aprire" online un documento cifrato (cioè oscurato in lettura da una password) in meno di tre minuti. Provare per credere: la demo on line dimostra che è tutto vero. Il servizio non solo funziona ma è anche velocissimo. Basta caricare un documento criptato a 40 bit per vederne pochi secondi dopo le prime righe di contenuto. Per la completa visione in chiaro servono 39 dollari.

La cifratura dei documenti office è dunque "insicura"? Non proprio. Superare quella standard a 40 bit (Word '97/2000) è un gioco da ragazzi; superare quelle attuali (Office Xp, 2003) molto meno. La notizia è una bomba, visto il numero elevato di persone che continuano a usare vecchie versioni di Word in giro per il mondo. In molti poi giurano di riuscire a forzare password di documenti Office indipendentemente dalla versione del software usata. È il caso di sikurezza.cc dove il lavoro di "apertura" di un file dura diversi giorni ma il buon esito dell'operazione è garantito e si paga soltanto a risultato raggiunto. Altra strada da percorrere può essere l'acquisto di un apposito programma: ce ne sono a decine sul web.

I metodi utilizzati per scoprire la password di un documento office sono sostanzialmente due: il "dizionario" e il "brute-attack" o attacco bruto. Nel primo caso il calcolatore ricerca la password all'interno di un dizionario composto da tante password probabili (nomi di persona, città ma anche sequenze di tasti statisticamente utilizzate come il classico "qwert"). La ricerca è velocissima, il risultato immediato. Il secondo tipo di attacco è più complesso: vengono provate tutte le combinazioni di lettere e simboli possibili, fino a trovare la password giusta. L'attacco bruto è tanto più veloce quanto più potente è la macchina (le macchine) impiegata per la ricerca.

Come garantire allora la segretezza di un documento particolarmente delicato? Con la scelta di una password adeguata innanzitutto ("i7f54dh7" è una buona password "Veronica" lo è molto meno). La cifratura esterna al software utilizzato rimane inoltre, a detta degli esperti, la strada più sicura per preservare i nostri segreti.

PGP RULEZ!!