33676

Verschlüsselung von Daten

Wenn Antivirenprogramme Makroviren aufspüren sollen, ist es entscheidend, wie Microsoft mit dem Thema Verschlüsselung umgeht. Denn letztlich muß auch bei einem verschlüsselten Dokument auf die Makros zugegriffen werden können, um sie nach gefährlichen Inhalten abzuklopfen.

Die Datenverschlüsselung (sowohl für Texte, als auch für Makros) hat sich während der letzten Office-Updates verändert - mit Konsequenzen für Identifikation und Desinfektion von Makroviren. Noch in Office '95 verwendete Microsoft eine einfache 16-Byte-XOR-Verschlüsselung für alle Daten. Solche Schlüssel konnte man innerhalb von wenigen Millisekunden rekonstruieren. Office '97 und 2000 setzen schon eine wesentlich sicherere RC4-Verschlüsselung. Diese ist wegen der Exportrestriktionen zwar auf 40 Bit beschränkt. Sie lässt sich trotzdem nicht mehr in Echtzeit brechen - selbst auf schnelleren Rechnern benötigt man einige Stunden.

In Office '95 wurden die Makros noch mitverschlüsselt, wenn die Datei mittels eines Passwortes geschützt wurde. Trotzdem konnten sie durchsucht und gereinigt werden. Die mögliche zusätzliche Verschlüsselung von Execute-Only-Makros mittels eine 8-Bit-Keys, der mit den Makro zusammen gespeichert wurde, stellte kein Hindernis dar, nur einen kleinen zusätzlichen Aufwand, um diesen Mini-Schutz rückgängig zu machen.

Ab Office '97 und 2000 kam aber ein Problem ans Licht: Makros stecken jetzt nicht mehr im verschlüsselten Bereich, jedoch sind in einem Teil des verschlüsselten Bereiches wichtige Daten zu den Makros enthalten. So kann ein Anti-Viren-Programm die Plagegeister zwar noch (in etwa) lokalisieren, aber nicht sauber entfernen, weil es die verschlüsselten Datenbereiche nicht lesen oder verändern kann. Mittlerweile ist es bei den Antivirenprogrammen in diesem Fall deshalb "Standard" geworden, die Makros lediglich zu überschreiben, aber nicht zu entfernen. Die Konsequenz: Die Makros sind nicht mehr aktiv, es bleibt aber Datenmüll in den Dateien zurück, zudem erscheint die Makrovirenwarnung, wenn sie aktiv ist.

PC-WELT Marktplatz

33676