УЯЗВИМОСТИ

Клиентская безопасность Эксперты сомневаются, что Lotus исправила дефекты Sametime

Деннис Фишер

Исследователь безопасности, недавно обнаруживший уязвимости в клиенте мгновенной передачи сообщений, входящем в интерактивную систему коллективной работы Sametime компании Lotus Software, заявил, что ее руководство скрывает правдивую информацию о масштабе существующих дефектов и о том, исправлены ли они в последней версии ПО.

По словам специалиста, выступающего под именем Мицелиум, уязвимости в схеме криптозащиты Sametime вопреки утверждениям Lotus перешли в версию 3.0, и поэтому сохраняется возможность простого раскрытия пользовательских ключей и паролей. И пароль пользователя, и шифрующий его ключ в Sametime пересылаются в одном и том же пакете.

Это ПО применяется главным образом в корпоративной среде.

"Для безопасной пересылки удостоверяющей информации по сети надо либо работать по протоколу обмена ключами, либо иметь заранее согласованный симметричный ключ, иного просто не дано. В Windows-клиенте Sametime 3.0 нет ни того ни другого", - говорится в сообщении Мицелиума, включенном в августовскую рассылку BugTraq.

Sametime: проблемы остаются

Вопросы по безопасности Sametime 3.0      

- Клиент пересылает пользовательский пароль и шифровальный ключ в одном и том же пакете

- Слабая схема генерации ключей жестко ограничивает число возможных ключей

- Сообщения раскрываются с помощью неизменной шестибайтовой последовательности

Формального ответа на это сообщение Lotus, являющаяся подразделением IBM, не дала. Правда, данная тема промелькнула на сайте компании, где ее представитель по маркетингу Эд Брилл отметил, что вопрос определенно заслуживает внимания.

Однако Брилл опроверг утверждения Мицелиума о каких-то дефектах в нынешней версии Sametime и заявил, что указанный тип уязвимости ликвидирован уже несколько лет назад.

"После версии 1.5, - сообщил старший управляющий Lotus по маркетингу Стив Лонерган, - схема криптозащиты Sametime была улучшена, но мы продолжаем активно ею заниматься. Для нас безопасность - очень серьезное дело".

Официальные лица Lotus утверждают, что рассматриваемая проблема была исправлена в версии 2.0, а Мицелиум анализировал пакет, использовавшийся для восстановления соединения, уже после того, как произошел исходный обмен ключами безопасности. "В этом пакете нет никакой информации ни о ключе, ни о пароле", - утверждается в их сообщении.

По мнению же Мицелиума (из интервью по электронной почте), схема шифрования Sametime для защиты удостоверяющей информации пользователей в основе совершенно несостоятельна.

"Суть в том, - сказал он, - что Sametime неадекватно использует шифрование просто как способ, позволяющий спрятать данные авторизации. С таким же успехом можно было задействовать схему ROT13 (сдвиг символов на 13 позиций) или кодопреобразующее кольцо Captain Crunch. Лучше бы в этих корпорациях не ленились читать о проблемах безопасности, прежде чем объявлять их ложными".

По словам Мицелиума, найденные им проблемы криптозащиты - только начало в серии исследований по вопросам безопасности Sametime, которые он планирует обнародовать в ближайшем будущем.

"Низкокачественное программирование, о котором свидетельствуют эти просчеты, выражается и в других дефектах, более сложных для обнаружения и употребления. Сегодня я исследую Sametime 3.0 на предмет DDoS-атак и переполнения буфера", - говорит Мицелиум.