Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Password crak
272 views
Skip to first unread message
esquel....@gmail.com
Jan 9, 2013, 2:32:59 PM1/9/13
to
Perdonerete la domanda che può sembrare strana.
Allora, avendo messo il naso da poco in OpenOffice, mi sono trovato di fronte ad uno specifico problema sul quale, peraltro, non riuscivo a trovare info definitive in rete.
Il problema riguarda la sicurezza della protezione di documenti “OOo” tramite password. Specifico che i dubbi li avevo non tanto sulla sicurezza del file in sé che, ho visto, è criptato con algoritmo AES e, quindi, esprime il massimo della sicurezza possibile oggi in crittografia. Piuttosto, sulla solidità della password con la quale è “chiuso” il singolo file.
Sto sviluppando un applicativo che gestisce documenti che contengono dati sensibili, ragione per la quale la sicurezza dei documenti è, per me, della massima importanza.
Volendo, poi, rendere il gestionale capace di gestire sia documenti MsOffice, sia OpenOffice e non avendo il tempo di penetrare a fondo il vasto mondo delle API OOo, ho pensato di affidarmi per questi ultimi alla sola protezione password. Da qui, il dubbio sulla sua effettiva solidità.
Per la verità, ho fatto una piccola prova (piccola, eh) con un software di nome “OpenOffice Password Recovery v1.0” (http://www.intelore.com/openoffice-password-recovery.php), su un file odt, proteggendolo con una password di 15 caratteri ricomprendenti simboli, lettere e numeri, non in sequenza logica, con maiuscole e minuscole alternate. E devo dire che l’attacco (brute force) ha avuto esito negativo (il software ha testato circa 20 mln di combinazioni per poi fermarsi e offrire un ampliamento del profilo d’attacco, cosa che non ho fatto perché era richiesto l’acquisto della licenza :D).
A parte questa piccola prova che, infine, non fa che confermare la solidità di password costruite con certi criteri, so che per MsOffice esiste almeno un modo (perché lo conosco direttamente) per by-passare le password di alcuni files protetti (xla).
La domanda, quindi, è se qualcuno di voi è a conoscenza di modi alternativi al brute force per sminchiare le password dei documenti di OpenOffice. E se sì, quali? :)
In fondo, segnalarli dovrebbe essere solo un aiuto per chi sviluppa open source.
Grazie per qualunque aiuto.
eSQueL
Allora, avendo messo il naso da poco in OpenOffice, mi sono trovato di fronte ad uno specifico problema sul quale, peraltro, non riuscivo a trovare info definitive in rete.
Il problema riguarda la sicurezza della protezione di documenti “OOo” tramite password. Specifico che i dubbi li avevo non tanto sulla sicurezza del file in sé che, ho visto, è criptato con algoritmo AES e, quindi, esprime il massimo della sicurezza possibile oggi in crittografia. Piuttosto, sulla solidità della password con la quale è “chiuso” il singolo file.
Sto sviluppando un applicativo che gestisce documenti che contengono dati sensibili, ragione per la quale la sicurezza dei documenti è, per me, della massima importanza.
Volendo, poi, rendere il gestionale capace di gestire sia documenti MsOffice, sia OpenOffice e non avendo il tempo di penetrare a fondo il vasto mondo delle API OOo, ho pensato di affidarmi per questi ultimi alla sola protezione password. Da qui, il dubbio sulla sua effettiva solidità.
Per la verità, ho fatto una piccola prova (piccola, eh) con un software di nome “OpenOffice Password Recovery v1.0” (http://www.intelore.com/openoffice-password-recovery.php), su un file odt, proteggendolo con una password di 15 caratteri ricomprendenti simboli, lettere e numeri, non in sequenza logica, con maiuscole e minuscole alternate. E devo dire che l’attacco (brute force) ha avuto esito negativo (il software ha testato circa 20 mln di combinazioni per poi fermarsi e offrire un ampliamento del profilo d’attacco, cosa che non ho fatto perché era richiesto l’acquisto della licenza :D).
A parte questa piccola prova che, infine, non fa che confermare la solidità di password costruite con certi criteri, so che per MsOffice esiste almeno un modo (perché lo conosco direttamente) per by-passare le password di alcuni files protetti (xla).
La domanda, quindi, è se qualcuno di voi è a conoscenza di modi alternativi al brute force per sminchiare le password dei documenti di OpenOffice. E se sì, quali? :)
In fondo, segnalarli dovrebbe essere solo un aiuto per chi sviluppa open source.
Grazie per qualunque aiuto.
eSQueL
Daniele Pinna (Ufficio)
Jan 9, 2013, 3:23:52 PM1/9/13
to
Il 09/01/2013 20:32, esquel....@gmail.com ha scritto:
> Perdonerete la domanda che pu� sembrare strana.
>
> Sto sviluppando un applicativo che gestisce documenti che contengono dati sensibili, ragione per la quale la sicurezza dei documenti �, per me, della massima importanza.
>
> Volendo, poi, rendere il gestionale capace di gestire sia documenti MsOffice, sia OpenOffice e non avendo il tempo di penetrare a fondo il vasto mondo delle API OOo, ho pensato di affidarmi per questi ultimi alla sola protezione password. Da qui, il dubbio sulla sua effettiva solidit�.
>
> Per la verit�, ho fatto una piccola prova (piccola, eh) con un software di nome �OpenOffice Password Recovery v1.0� (http://www.intelore.com/openoffice-password-recovery.php), su un file odt, proteggendolo con una password di 15 caratteri ricomprendenti simboli, lettere e numeri, non in sequenza logica, con maiuscole e minuscole alternate. E devo dire che l�attacco (brute force) ha avuto esito negativo (il software ha testato circa 20 mln di combinazioni per poi fermarsi e offrire un ampliamento del profilo d�attacco, cosa che non ho fatto perch� era richiesto l�acquisto della licenza :D).
>
> A parte questa piccola prova che, infine, non fa che confermare la solidit� di password costruite con certi criteri, so che per MsOffice esiste almeno un modo (perch� lo conosco direttamente) per by-passare le password di alcuni files protetti (xla).
>
> La domanda, quindi, � se qualcuno di voi � a conoscenza di modi alternativi al brute force per sminchiare le password dei documenti di OpenOffice. E se s�, quali? :)
password sia allo stesso livello di una protezione di un file .ZIP anche
perch� i file .ODT, .ODS etc non sono altro che dei file .ZIP
Quindi se esiste un sistema per bucare i file .ZIP dovrebbe esistere un
sistema per bucare i file di OOo/Libo
Mi chiedo poi una cosa. Perch� hanno usato il formato .ZIP e non il
formato .7Z? Il formato .ZIP � libero?
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
> Perdonerete la domanda che pu� sembrare strana.
>
> Allora, avendo messo il naso da poco in OpenOffice, mi sono trovato di fronte ad uno specifico problema sul quale, peraltro, non riuscivo a trovare info definitive in rete.
>
> Il problema riguarda la sicurezza della protezione di documenti �OOo� tramite password. Specifico che i dubbi li avevo non tanto sulla sicurezza del file in s� che, ho visto, � criptato con algoritmo AES e, quindi, esprime il massimo della sicurezza possibile oggi in crittografia. Piuttosto, sulla solidit� della password con la quale � �chiuso� il singolo file.
> Allora, avendo messo il naso da poco in OpenOffice, mi sono trovato di fronte ad uno specifico problema sul quale, peraltro, non riuscivo a trovare info definitive in rete.
>
>
> Sto sviluppando un applicativo che gestisce documenti che contengono dati sensibili, ragione per la quale la sicurezza dei documenti �, per me, della massima importanza.
>
> Volendo, poi, rendere il gestionale capace di gestire sia documenti MsOffice, sia OpenOffice e non avendo il tempo di penetrare a fondo il vasto mondo delle API OOo, ho pensato di affidarmi per questi ultimi alla sola protezione password. Da qui, il dubbio sulla sua effettiva solidit�.
>
> Per la verit�, ho fatto una piccola prova (piccola, eh) con un software di nome �OpenOffice Password Recovery v1.0� (http://www.intelore.com/openoffice-password-recovery.php), su un file odt, proteggendolo con una password di 15 caratteri ricomprendenti simboli, lettere e numeri, non in sequenza logica, con maiuscole e minuscole alternate. E devo dire che l�attacco (brute force) ha avuto esito negativo (il software ha testato circa 20 mln di combinazioni per poi fermarsi e offrire un ampliamento del profilo d�attacco, cosa che non ho fatto perch� era richiesto l�acquisto della licenza :D).
>
> A parte questa piccola prova che, infine, non fa che confermare la solidit� di password costruite con certi criteri, so che per MsOffice esiste almeno un modo (perch� lo conosco direttamente) per by-passare le password di alcuni files protetti (xla).
>
> La domanda, quindi, � se qualcuno di voi � a conoscenza di modi alternativi al brute force per sminchiare le password dei documenti di OpenOffice. E se s�, quali? :)
>
> In fondo, segnalarli dovrebbe essere solo un aiuto per chi sviluppa open source.
>
> Grazie per qualunque aiuto.
>
> eSQueL
>
Non vorrei dire una cavolata, ma credo (*CREDO*) che la protezione della
> In fondo, segnalarli dovrebbe essere solo un aiuto per chi sviluppa open source.
>
> Grazie per qualunque aiuto.
>
> eSQueL
>
password sia allo stesso livello di una protezione di un file .ZIP anche
perch� i file .ODT, .ODS etc non sono altro che dei file .ZIP
Quindi se esiste un sistema per bucare i file .ZIP dovrebbe esistere un
sistema per bucare i file di OOo/Libo
Mi chiedo poi una cosa. Perch� hanno usato il formato .ZIP e non il
formato .7Z? Il formato .ZIP � libero?
--
Daniele Pinna
DAPINNA.COM
(leva oops per rispondere)
-----
Utente Skype: dapinna
DAPINNA.COM : http://www.dapinna.com
Il Docfa in Pillole: http://www.ildocfainpillole.it - Sito Aggiornato!!!
DAPINNA.COM su Facebook:
www.facebook.com/pages/Sassari-Italy/DAPINNACOM/110085322371199
VITRIOL
Jan 10, 2013, 1:44:56 AM1/10/13
to
Il 09/01/2013 21:23, Daniele Pinna (Ufficio) ha scritto:
> Non vorrei dire una cavolata, ma credo (*CREDO*) che la protezione della
> password sia allo stesso livello di una protezione di un file .ZIP anche
> perch� i file .ODT, .ODS etc non sono altro che dei file .ZIP
>
> Quindi se esiste un sistema per bucare i file .ZIP dovrebbe esistere un
> sistema per bucare i file di OOo/Libo
Non � cos�, prova scompattare un documento ODT protetto da password e ti
> Non vorrei dire una cavolata, ma credo (*CREDO*) che la protezione della
> password sia allo stesso livello di una protezione di un file .ZIP anche
> perch� i file .ODT, .ODS etc non sono altro che dei file .ZIP
>
> Quindi se esiste un sistema per bucare i file .ZIP dovrebbe esistere un
> sistema per bucare i file di OOo/Libo
accorgerai che si scompatta tranquillamente. La password non � sullo ZIP.
Poi prova ad aprire con un editor ad esempio il file content.xml, e ti
accorgerai che cosa davvero � stato cifrato :-)
--
Saluti
VITRIOL
VITRIOL
Jan 10, 2013, 1:56:31 AM1/10/13
to
> La domanda, quindi, � se qualcuno di voi � a conoscenza di modi alternativi al brute force per sminchiare le password dei documenti di OpenOffice.
Ci sono solo due possibilit� per cui ci possano essere modi alternativi
(forse tre, ma la terza non lo considero perch� al limite
dell'impossibile...).
1) C'� un bug nel codice che inficia la corretta applicazione
dell'algoritmo e che quindi crea una possibile falla di sicurezza nella
funzione di crittografia.
2) C'� una backdoor inserita volontariamente dagli sviluppatori.
Entrambe le possibilit� sono abbastanza improbabili in software open
source se questo � abbastanza popolare, anche se � complesso. Se poi una
cosa del genere venisse scoperta (la scoperta la pu� fare chiunque abbia
competenza specifica, perch� non c'� nulla di nascosto) diventerebbe
subito di dominio pubblico.
--
Saluti
VITRIOL
Ci sono solo due possibilit� per cui ci possano essere modi alternativi
(forse tre, ma la terza non lo considero perch� al limite
dell'impossibile...).
1) C'� un bug nel codice che inficia la corretta applicazione
dell'algoritmo e che quindi crea una possibile falla di sicurezza nella
funzione di crittografia.
2) C'� una backdoor inserita volontariamente dagli sviluppatori.
Entrambe le possibilit� sono abbastanza improbabili in software open
source se questo � abbastanza popolare, anche se � complesso. Se poi una
cosa del genere venisse scoperta (la scoperta la pu� fare chiunque abbia
competenza specifica, perch� non c'� nulla di nascosto) diventerebbe
subito di dominio pubblico.
--
Saluti
VITRIOL
Taf®
Jan 10, 2013, 2:19:51 AM1/10/13
to
On 09/01/2013 20:32:59... esquel....@gmail.com
(esquel....@gmail.com) wrote :
> Perdonerete la domanda che puᅵ sembrare strana.
SNIP
> ........................................ per MsOffice esiste almeno un
> modo (perchᅵ lo conosco direttamente) per by-passare le password di alcuni
> files protetti (xla).
beh, questo ᅵ abbastanza noto a tutti gli "smanettoni del settore" ! ;)
io l'ho usato in passato per recuperare un mio file piuttosto
importante di cui mi ero completamente dimenticato la password...
> La domanda, quindi, ᅵ se qualcuno di voi ᅵ a conoscenza di modi alternativi
Secondo me la protezione di OOO/AOO/LIBO ᅵ sicura (leggi anche la
risposta di VITRIOL), non ho mai trovato info su metodi alternativi
funzionanti.
> In fondo, segnalarli dovrebbe essere solo un aiuto per chi sviluppa open
> source.
> Grazie per qualunque aiuto.
Prego, ;) ...sperando di essere stato utile
--
ByE bYe By Tafᅵ - WinPenPack Team Member - _PORTABLE_ OPEN SOURCE
PROGRAMS - http://www.winpenpack.com/en/news.php
A: Because it disturbs the logical flow of the message.
Q: Why is top posting frowned upon?
R: Perche' disturba il flusso logico della lettura
D: Perche' "postare sopra" e' tanto fastidioso?
(esquel....@gmail.com) wrote :
> Perdonerete la domanda che puᅵ sembrare strana.
SNIP
> ........................................ per MsOffice esiste almeno un
> modo (perchᅵ lo conosco direttamente) per by-passare le password di alcuni
> files protetti (xla).
beh, questo ᅵ abbastanza noto a tutti gli "smanettoni del settore" ! ;)
io l'ho usato in passato per recuperare un mio file piuttosto
importante di cui mi ero completamente dimenticato la password...
> La domanda, quindi, ᅵ se qualcuno di voi ᅵ a conoscenza di modi alternativi
> al brute force per sminchiare le password dei documenti di OpenOffice. E se
> sᅵ, quali? :)
Secondo me la protezione di OOO/AOO/LIBO ᅵ sicura (leggi anche la
risposta di VITRIOL), non ho mai trovato info su metodi alternativi
funzionanti.
> In fondo, segnalarli dovrebbe essere solo un aiuto per chi sviluppa open
> source.
> Grazie per qualunque aiuto.
--
ByE bYe By Tafᅵ - WinPenPack Team Member - _PORTABLE_ OPEN SOURCE
PROGRAMS - http://www.winpenpack.com/en/news.php
A: Because it disturbs the logical flow of the message.
Q: Why is top posting frowned upon?
R: Perche' disturba il flusso logico della lettura
D: Perche' "postare sopra" e' tanto fastidioso?
esquel....@gmail.com
Jan 10, 2013, 4:51:13 AM1/10/13
to taf4...@gmail.cut2validate.com
Aiuto prezioso. Grazie davvero a tutti :)
eSQueL
eSQueL
Daniele Pinna (Ufficio)
Jan 10, 2013, 10:10:39 AM1/10/13
to
Il 10/01/2013 07:44, VITRIOL ha scritto:
> Il 09/01/2013 21:23, Daniele Pinna (Ufficio) ha scritto:
>
>> Non vorrei dire una cavolata, ma credo (*CREDO*) che la protezione della
>> password sia allo stesso livello di una protezione di un file .ZIP anche
>> perché i file .ODT, .ODS etc non sono altro che dei file .ZIP
> Il 09/01/2013 21:23, Daniele Pinna (Ufficio) ha scritto:
>
>> Non vorrei dire una cavolata, ma credo (*CREDO*) che la protezione della
>> password sia allo stesso livello di una protezione di un file .ZIP anche
>>
>> Quindi se esiste un sistema per bucare i file .ZIP dovrebbe esistere un
>> sistema per bucare i file di OOo/Libo
>
> Non è così, prova scompattare un documento ODT protetto da password e ti
>> Quindi se esiste un sistema per bucare i file .ZIP dovrebbe esistere un
>> sistema per bucare i file di OOo/Libo
>
> accorgerai che si scompatta tranquillamente. La password non è sullo ZIP.
> Poi prova ad aprire con un editor ad esempio il file content.xml, e ti
> accorgerai che cosa davvero è stato cifrato :-)
OK... allora ho detto una cavolata :-D
Grazie per la correzione :-)
0 new messages