De obicei, macrocomenzile sunt programe de calculator destul de mici. Dar, deoarece macrocomenzile pot accesa hard disk-ul utilizatorului și pot exploata alte caracteristici ale unui computer, ele pot provoca daune.

Sistemele de operare Office și Windows includ o varietate de caracteristici de securitate concepute pentru a proteja utilizatorul împotriva codurilor dăunătoare - macro, virus, cal troian sau orice altceva. Dar unele caracteristici de securitate sunt specifice documentelor Office și macrocomenzilor, casetelor de dialog și formularelor de utilizator pe care le pot conține.

Este adevărat: o macrocomandă rău intenționată poate face stricăciuni în mod automat. Nici măcar nu este necesar ca utilizatorul să lanseze în mod deliberat o macrocomandă din caseta de dialog Macros sau din editorul VBA. Unele proceduri (cu anumite nume speciale, cum ar fi Open) se lansează automat. De exemplu, dacă numiți una dintre macrocomenzi Document_Open, tot codul din acea procedură se execută spontan atunci când utilizatorul deschide documentul gazdă:

  Private Sub Document_Open()

Acest lucru poate fi util, desigur. Poate că veți dori să scrieți un cod în această procedură care să configurați automat nivelul dvs. de zoom preferat sau să finalizați o altă sarcină pe care o efectuați întotdeauna la deschiderea oricărui document. Dar faptul că utilizatorul nu trebuie să aleagă în mod specific să ruleze această macrocomandă înseamnă că poate fi pus un virus în această procedură. Și astfel computerul este infectat.

Codul rău intenționat poate fi introdus în aplicațiile Office ale unui utilizator prin intermediul a trei vehicule primare: macrocomenzi, controale ActiveX și suplimente. Microsoft oferă utilizatorilor diverse abordări de securitate VBA, inclusiv următoarele:

• Anumite tipuri de fișiere documente Office pur și simplu nu pot conține macrocomenzi încorporate. Aceasta este diferența dintre, de exemplu, salvarea unui fișier folosind opțiunea Word .docx, care nu poate conține macrocomenzi, și tipul de fișier .docm, care poate. M reprezintă macro; X înseamnă XML, (un limbaj de calculator și un sistem intern de stocare a datelor folosit de produsele Office).
• Documente care sunt încărcate dintr-o zonă de încredere de pe hard disk.
• Setările Centrului de încredere (Trust Center) specificate de utilizator, cum ar fi prevenirea completă a executării oricăror controale ActiveX, macrocomenzi sau suplimente fără să anunțe sau să întrebe utilizatorul. În mod alternativ, utilizatorului i se poate solicita permisiunea înainte de a putea executa codul potențial periculos.
• O listă de „editori de încredere” (trusted publishers) care poate fi modificată de utilizator - companii ale căror documente sunt considerate sigure.
• Posibilitatea de a semna digital propriile documente sau șabloane, făcându-vă astfel un „editor de încredere” (trusted publisher). Office 2007 a introdus conceptul a două tipuri de documente. Pentru prima dată, utilizatorul ar putea salva documente care pur și simplu nu pot conține macrocomenzi sau alt cod potențial rău intenționat. În mod implicit, orice document Word nou este de tip .docx, nu de tip .docm (care permite/conține macrocomenzi). Cu alte cuvinte, un document trebuie creat în mod deliberat ca document care conține macrocomenzi. Și pentru că are extensia de fișier .docm, toată lumea (inclusiv Word când deschide documentul) știe că acesta conține un cod posibil periculos. Administratorii pot utiliza Politica de grup (Group Policy) pentru a aplica reguli privind tipurile de fișiere permise. Dar tipul de fișier .docx implicit este lipsit de executabile potențial riscante (fișiere sau proceduri care pot fi executate).

Alte aplicații Office au, de asemenea, perechi de fișiere cu macrocomenzi dezactivate sau activate. Excel are fișiere .xlsx și .xlsm, iar PowerPoint are fișiere .pptx și .pptm.

Office include diferite instrumente și funcții de securitate pe care utilizatorii obișnuiți, administratorii și profesioniștii IT le pot utiliza pentru a proteja în continuare aplicațiile Office:

• O aplicație Office ActiveX kill bit care permite administratorilor să interzică executarea anumitor controale ActiveX.
• Prin setările Politicii de grup sau individuale prin intermediul Office Trust Center, poate fi implementată blocarea pe tip de fișier. Tipurile de fișiere la care poate accesa o aplicație pot fi controlate în mod specific.
• O caracteristică Documente de încredere (Trusted Documents) care permite utilizatorilor să specifice documente individuale ca fiind de încredere, obținând astfel orice setări macro pe care utilizatorul le-a aplicat în Trust Center.
• O caracteristică de scanare care caută cod rău intenționat înaintea deschiderii unui fișier de către o aplicație Office.
• O cutie de nisip (sandbox) denumită Protected View. Aceasta izolează programul care este executat, astfel încât să nu poată dăuna altor programe, să introducă viruși în sistemul de operare sau să stocheze lucruri nedorite pe hard disk.

Figura de mai jos prezintă opțiunile Vizionare protejată (Protected View) și avertismentul pe care îl primiți dacă sunteți pe punctul de a deschide un document dintr-o sursă potențial periculoasă. Acest lucru este similar cu pornirea Windows în modul Safe Mode. În vizualizarea protejată, executabilele sunt dezactivate. Documentul protejat este în carantină, deci teoretic nu poate face niciun rău computerului sau conținutului său. Spun teoretic pentru că așa cum știm cu toții, nici o securitate nu este perfectă. Rețineți că, în descrierea sa privind vizualizarea protejată din figura de mai jos, Microsoft afirmă cu atenție că acest mod va „ajuta la reducerea prejudiciului” - nu există nicio afirmație de invulnerabilitate. Toate opțiunile de vizualizare protejată sunt activate în mod implicit, astfel încât fișierele pe care le obțineți de pe Internet și Outlook, de exemplu, sunt trimise automat în sandbox atunci când sunt deschise.

Sursele suspecte declanșează acest avertisment de securitate atunci când este deschis în aplicațiile Office.

• Diferite funcții ascunse, inclusiv securitatea parolelor și criptarea pentru a proteja confidențialitatea informațiilor utilizatorului.

Fără îndoială, există mai multe tactici de securitate pe care Microsoft nu le menționează. Până la urmă, de ce să le spui oamenilor rău intenționați tot ceea ce se face pentru a preveni incursiunile lor?

SECURITATEA REALĂ ÎNTR-O LUME NESIGURĂ

Toate programele de detectare a virușilor, firewall-urile, semnăturile digitale și alte eforturi de securitate nu vă pot proteja pe dvs. sau pe colegii dvs. dacă cineva din rețeaua dvs. deschide atașamente de e-mail, descarcă executabile rău intenționate sau adaugă în alt mod probleme în mediul dvs.

Chiar dacă toată lumea este conștientă de pericole și respectă cele mai bune practici de securitate, virușii și alte probleme pot încă să intre. La urma urmei, aplicațiile antivirus au apărut după viruși. Mai întâi apare un virus nou, apoi este identificat și se creează antidotul.

Pe de altă parte, în prezent este destul de rar să găsiți macrocomenzi folosite pentru a răspândi viruși. Și, bineînțeles, dacă scrieți singur codul VBA - în calitate de cititor al acestei cărți - cu siguranță puteți avea încredere în sursa macrocomenzilor.

Cu toate acestea, deoarece amenințările sunt constante și, în cele din urmă, este imposibil să garantați că nu veți primi niciodată un virus (în ciuda faptului că se fac eforturi pentru a le preveni), ar trebui să vă asigurați că luați măsuri suplimentare pentru a minimiza daunele.

Software-ul rău intenționat se încadrează în două mari categorii:

• Cod care încearcă să facă pagube, de exemplu, ștergând fișiere sau încetinind computerul foarte mult. Scopul aici este de a crea o mizerie pe care trebuie să o curățați - sau să plătiți vinovații pentru a o curăța, cum ar fi virusii notorii care vă blochează fișierele până când trimiteți bani.
• Cod care încearcă să afle secretele dvs. pentru a vă face pagube, de exemplu, de a vă fura identitatea pentru a vă strica creditul sau pentru a-ți goli contul bancar. Problema aici este încălcarea persoanei dvs. și o invazie a vieții private, un alt tip de mizerie de curățat.

Dacă vă preocupă confidențialitatea, ar trebui să criptați orice documente care conțin informații sensibile. Din fericire, începând cu Office 2007, schema de criptare Office anterior slabă a fost înlocuită cu una extrem de sigură. Iar Microsoft continuă să întărească schemele de criptare încorporate și a adăugat tehnologii de verificare a integrității pentru fișierele criptate.

Dacă vă îngrijorează un atac de virus, asigurați-vă că faceți o copie de siguranță a documentelor (ar trebui să faceți acest lucru oricum, în caz de accident, incendiu, furt sau alte distrugeri). În aceste zile, cu unități externe cu trei terabyte care se vând în jur de 100 de dolari, este simplu să stocați întregul sistem computerizat (o imagine de sistem) - documente, programe, e-mail inbox, totul - ca imagine pe o unitate externă. În acest fel, nu va trebui să reinstalați aplicațiile în cazul unei probleme grave. Puteți utiliza sisteme de rezervă de la terți. Sau, dacă utilizați Windows 7, puteți utiliza sistemul de backup integrat al Windows, alegând Start > Control Panel, apoi clic pe Backup And Restore.

Dacă utilizați Windows 8 sau 10 și doriți doar să faceți o copie de siguranță a fișierelor dvs. de date, apăsați tasta Windows + S și tastați Save Backup pentru a utiliza utilitarul Istoric fișiere (File History). Dacă doriți să utilizați backup-ul tradițional Windows, este posibil chiar și în Windows 8 sau 10. Pentru a invoca această utilitate, apăsați tasta Windows + W și tastați Backup and Restore (sau în Windows 8 tip: Windows 7 File Recovery). De acolo, puteți crea o imagine, un disc de reparare sau o copie de rezervă tradițională în stil Windows.

Pentru a securiza o aplicație împotriva codului VBA rău intenționat, puteți utiliza Office Trust Center pentru a alege nivelul de securitate pe care doriți să îl utilizeze aplicația atunci când rulează cod VBA. Faceți clic pe fila File și alegeți Opțiuni. Faceți clic pe butonul Centrul de încredere (Trust Center) din panoul din stânga și faceți clic pe butonul Setări de încredere (Trust Center Settings).

De asemenea, puteți specifica care sunt sursele de încredere și cât de mult să aveți încredere în ele. O sursă de încredere ar putea fi cineva care lucrează pentru aceeași companie ca dvs. sau cineva care are un certificat digital de la un terț în care aveți încredere, cum ar fi autoritatea de certificare VeriSign. Deoarece (în acest exemplu) aveți încredere în VeriSign, înseamnă că aveți încredere și în partea terță căreia VeriSign i-a emis un certificat digital. De asemenea, Office are o caracteristică de încredere de marcare a timpului cu tehnologia de semnătură digitală.

Pentru a stabili ca aplicațiile Office să poată avea încredere în propriul dvs. cod, puteți semna un document sau un proiect de șablon care conține personalizări sau elemente de proiect macro (modele de cod, module de clasă sau formulare de utilizator) cu o semnătură digitală generată de un certificat digital care vă identifică în mod unic pe dvs. sau pe compania dvs. Mai întâi vom studia această tehnică, deoarece ea stabilește stadiul specificării nivelului de securitate pe care îl veți utiliza.

De asemenea, puteți bloca un proiect macro cu o parolă, astfel încât nimeni să nu poată deschide codul. Acest lucru împiedică pe oricine să vadă codul dvs. și fie îl oprește să funcționeze, fie îl consideră dăunător. De asemenea, vă protejează proprietatea intelectuală: dacă nimeni nu vă poate vedea codul, nimeni nu vă poate fura ideile.