Sdílení dokumentů v AOO a LO – jak najít data o ochraně dokumentu

LO.png Pří sdílení bývá potřeba omezit přístup k určitému dokumentu. Podíváme se, jak najít v dokumentu data, která se k tomu používají. Tato data později využijeme ke zkvalitnění ochrany.  

V úvodních dílech jsme popsali sdílení dokumentů jako problematiku účelu, ke kterému jednotlivé druhy dokumentů AOO a LO používáme. V této části se blíž podíváme na problematiku přístupu k dokumentům. Konkrétně se budeme zabývat prostředky a postupy, které jsou zahrnuty v základní instalaci. V případech, kde je řešením pouze užití cizích prostředků, uvedeme tyto stručně.

Téma je aktuální v okamžiku, kdy chceme omezit přístup k určitému dokumentu. Odlišujeme dva hlavní druhy omezení:

  • znemožnit přístup nepovolaným,
  • zabránit změnám v dokumentu.

Znemožnění přístupu nepovolaným

Za tímto účelem je každý dokument v AOO i LO vybaven heslem. Dokumenty jsou zašifrovány poměrně silným šifrovacím algoritmem, ale kolem tohoto prostředku je stále hodně diskusí a jsou uváděny pádné argumenty proti. Heslo je možné použít přímo na určitý dokument, nebo nepřímo tak, že vkládáme sekce nebo listy z jiného dokumentu. Při podobném postupu nemusí být vlastní dokument zašifrován. To je velmi výhodné, protože zašifrování vlastního dokumentu může narážet na rozličné problémy.

Nejprve si ukážeme, jak názorně vypadá zašifrování dokumentu pomocí hesla. K tomuto účelu si vysvětlíme, jak otevřít běžný dokument ve formátu XML. Tento postup se nám může hodit v mnoha případech – nemusí jít jen o ochranu heslem nebo zašifrováním.

Takže nejprve si vytvoříme dokument, který vybavíme heslem. Já jsem zvolil textový dokument, ale je celkem jedno, o jaký typ dokumentu se jedná (nemusí obsahovat vůbec nic). Tento následně otevřeme jako XML. Postup vytvoření není potřeba komentovat, postačují obrázky. Já jsem takový dokument nazval „Zaheslovaný Writer“.


Dalším krokem je po stisknutí tlačítka „Uložit“ zadání hesla v dialogu, který se otevře:

Heslo_krok_2.png


Po novém otevření zaheslovaného (zašifrovaného) dokumentu se objeví následující dialog:

PostupHeslo_0.png


Velmi frekventovanou připomínkou je skutečnost, že heslo je uloženo v dokumentu XML, kde je prakticky volně k dispozici. Nesmíme ale zapomínat, že ochranu heslem potřebují zejména organizace uživatelů – řekněme komerční firmy a instituce, které využívají uzavřené sítě. Když se v takové síti dobře zabezpečí úložiště, tak je možné otevírat dokument na serveru naprosto bezpečně. Soubory s XML dokumenty, jako je „manifest“ a podobně, nelze otevřít nebo stáhnout.

Postup, jak se to dělá, uvádím v následujícím odstavci. Není to samozřejmě proto, abych uživatele naučil rozbíjet ochranu heslem. Stejný postup se používá při některých činnostech, když nelze zvolit klasickou možnost úpravy. Například takto můžeme opravit soubor s nějakou chybou nebo odstranit zapomenuté heslo pro zakázání úprav.

Je to sice typ pokročilých znalostí, ale někdy je to jediná možnost. V rámci fóra se s takovým návodem setkáme poměrně často. Je to snadná úprava, pokud dokument není chráněn šifrováním. Ovšem posuďte sami, jak „snadné“ je prolomit šifrování při zabezpečení přístupu heslem.

Postup otevírání dokumentů ve formátu XML

Dále uvádím postup poplatný pro operační systém Windows. Je třeba použít externí programy. Například je potřeba souborový manažer a externí editor. Já používám jako souborový manažer Total Commander a PsPad jako pokročilý textový editor. U textového editoru předpokládáme možnost otevřít a upravovat mnoho různých souborů, ale také možnost pracovat s ním jako s hexaeditorem.

Pro prostředí Linux se nabízí více možností. Jako správce souborů lze použít například Nautilus, Dolphin, Midnight Commander či Double Commander, jako hexadecimální editor Okteta, wxHexEditor či Emacs. Přesný postup se samozřejmě bude mírně lišit.

Zapomenute_heslo_1.png


2. krok: V souborovém manažeru po výběru souboru zadáme volbu „Hromadné přejmenování“.

Zapomenute_heslo_2.png


3. krok: Otevře se dialog „Hromadné přejmenování souborů a složek“.

Zapomenute_heslo_3.png


4. krok: V dialogu vyplníme kolonku „přípona = zip“ bez tečky, tak jak ukazuje obrázek.

Zapomenute_heslo_4.png


5. krok: Zavřeme dialog „Hromadné přejmenování“ a zkontrolujeme, zda jsme neudělali chybu.

Zapomenute_heslo_5.png


6. krok: Pokud se nám objeví soubor archivu „ZIP“ i s patřičnou ikonou, je vše v pořádku a souborového manažera vypneme. Otevřeme složku, kde se nalézá archiv zip. Archiv zip rozbalíme nejlépe do samostatné složky. (Poznámka – dále popisovaný archiv je ikonou archivu RAR, ale to je dáno nastavením v operačním systému podle nainstalovaných programů – není to podstatné.)

Zapomenute_heslo_6.png


7. krok: Výsledek ve složce pak obsahuje jak vlastní „zip“ archiv, tak složku, kterou otevřeme.

Zapomenute_heslo_7.png


8. krok: Otevřeme složku, kterou jsme vytvořili, uvidíme několik souborů a složek. Všechny soubory jsou opravdu zašifrovány. Z viditelných souborů není zašifrován pouze ten s názvem mimetype. Zašifrován je i soubor manifest.rdf. To ale není ten manifest, o kterém je řeč při popisování bezpečnostní chyby, přestože jde také o XML soubor.

Zapomenute_heslo_8.png


Popisovaná bezpečnostní chyba se vztahuje na manifest ve složce META-INF. Tam je skutečně tento soubor nezašifrovaný. Mimo toho ještě není zašifrovaná ta část dokumentu, která používá vstupní data pro šifru. To bývá většinou údaj o uživateli, ale jde o to, jaký algoritmus se používá. V dnešní době, tedy ve verzi LO 4.1.2.3 a AOO 4.0.1, jsou dva různé algoritmy. Ovšem dokument vytvořený například v AOO musí jít otevřít i v LO, takže jsou vlastně používány paralelně. Lze očekávat, že se to změní v novějších verzích. Podobný problém je s otevíráním zaheslovaných dokumentů MSO v prostředí AOO, LO.

Zapomenute_heslo_9.png


9. krok: Otevřeme soubor manifest ze složky META-INF. To vyžaduje například specializovaný program. Já používám PsPad. Soubor obsahuje toto:

Zapomenute_heslo_10.png


K šifrování slouží všechny řádky mimo těch zašedlých. Na obrázku vidíme jen 13 řádků použitých pro šifrování z celku 42. Z toho samozřejmě laik nic neodvodí. Jsou to ale instrukce, kde je uveden jak algoritmus, tak klíč, který ovšem není v tom formátu, jenž se zadává do dialogu pro dešifrování. Takže běžnému uživateli tohle není k ničemu. Velice podobně vypadá obsah tohoto dokumentu, pokud zašifrujeme přístup v AOO 4. Výše uvedený script je převzat z LO 4.

U starších verzí toto vypadalo ještě trošku jinak. Na problému bezpečnostní slabiny se pracuje hned na několika úrovních a pravděpodobně v mnoha SW „dílnách“. Takže to, co můžeme najít dnes v aktuálních verzích, nemusí být brzy pravdou.

Tuto problematiku „šifrování“ probereme jindy. Zde jsem udělal jakousi vsuvku, abych ukázal to, čemu se říká bezpečnostní riziko. To je skutečnost, avšak nijak dramatická. Ukážeme si několik možností, jak bezpečnostní riziko zmenšit, nebo úplně eliminovat vlastními prostředky.

Popisovanou metodu otevírání souborů XML použijeme například pro otevírání souborů .oxt – tedy rozšíření (extension) – nebo nezaheslovaných a poškozených souborů. Lze také někdy otevřít soubor se zapomenutým heslem – nikoliv samozřejmě prolomením šifry. Na konkrétní postup se podíváme příště. Jde ale vždy o postup bez záruky na úspěch. Osvědčilo se mi to však u starších verzí OpenOffice.

V příštím díle

V následujícím díle si ukážeme praktické činnosti spojené s ochranou heslem a zašifrováním souboru, tedy zejména utváření a archivace hesel. Ukážeme si jednoduchý generátor, který nám například umožní modifikovat stále stejné heslo, a vysvětlíme si práci s manažerem hesel, kterého lze nahradit tak, aby byl opravdu jen náš a nikdo jiný s ním pracovat neuměl.

(Jako ve škole) Průměr: 1.00 | Hodnotilo: 2
 

Komentáře

user avatar Petr Valach
Odpovědět
Sdílení dokumentů v AOO a LO – jak najít data o ochraně dokumentu
12. 12. 2013, 01:18:42
To je úžasné, jak jste na to proboha přišel? :D :D

Přidat názor

 

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích najdete v nápovědě. Diskuzi můžete sledovat pomocí RSS kanálu.

 
 
 
woo jaw demo hz