Revisión de MetaFrame Password Manager de Citrix

26 Sep 2004 en Software

Diseñado para operar de manera transparente con la suite de productos Citrix MetaFrame Access Suite, MetaFrame Password Manager ofrece seguridad con contraseña y acceso con un único inicio de sesión a una amplia variedad de aplicaciones para Windows®, la Web y alojadas en sistemas anfitriones que se utilizan en entornos basados y no basados en Citrix. Los usuarios son autenticados una vez con una contraseña y MetaFrame Password Manager hace el resto iniciando sesión en sistemas de información protegidos con contraseña, reforzando con ello políticas de uso de contraseñas, supervisando eventos relacionados con contraseñas e incluso automatizando tareas del usuario final, incluyendo cambios de contraseña. MetaFrame Password Manager agiliza y hace más segura la conexión a aplicaciones seguras y puede reducir los costos de soporte para organizaciones de TI hasta en un 25%.

Citrix comisionó la revisión de seguridad externa para determinar la exposición de MetaFrame Password Manager a diversas amenazas consideradas las formas más probables de una infracción potencial a la seguridad. La evaluación de MetaFrame Password Manager realizada por Foundstone se llevó a cabo como una revisión de “caja negra”: Foundstone tenía acceso al software y asoció documentos proporcionados con MetaFrame Password Manager pero no tenía acceso a información adicional acerca del código fuente o la arquitectura del producto. Para evaluar el grado al cual las contraseñas estaban protegidas de una exposición inapropiada, Foundstone estableció un entorno de pruebas que permitía la evaluación de tres configuraciones del producto, dos escenarios del sistema operativo y dos implementaciones de sincronización. Tras supervisar las instalaciones de MetaFrame Password Manager en el entorno de pruebas para obtener información inteligente acerca del producto y su arquitectura, Foundstone realizó las pruebas siguientes:

Comprobó que un usuario no pudiera ver la información de otros usuarios;
Evaluó si administradores mal intencionados podían tener acceso o a cambiar la información de otro usuario o administrador;
Determinó si la aplicación era susceptible a un ataque de fuerza bruta contra el almacén de credenciales;
Comprobó que los datos delicados estuvieran cifrados si estaban sin usarse en la aplicación o si se transmitían entre el almacén central de credenciales y el agente MetaFrame Password Manager.
Foundstone concluyó que una infraestructura de seguridad sólida estaba integrada en MetaFrame Password Manager en las formas siguientes:

Se utiliza un cifrado sólido para proteger información sensible en el almacén central de credenciales, limitando con ello el acceso de los usuarios y administradores a información delicada;
No se pueden utilizar herramientas de depuración con efectividad para obtener información adicional acerca de la forma en que la aplicación procesa datos;
Los permisos del sistema operativo y del registro restringen a un usuario de escribir información en la configuración de otro usuario;
Los usuarios deben responder a una pregunta secreta para poder cambiar una contraseña, ofreciendo protección contra la posibilidad de que un administrador cambie la contraseña de un usuario para tener acceso al almacén de credenciales;
Sólo se permiten tres intentos para ingresar credenciales de autenticación, lo que ofrece protección contra ataques de fuerza bruta;
Se han utilizado técnicas contra la alteración de datos y sumas de verificación para evitar alteraciones a información del registro del usuario, datos del almacén central de contraseñas y datos de sincronización de contraseñas;
Parecen estar en efecto prácticas de codificación seguras o alguna forma de sumas de verificación consistentes dado que no se identificaron condiciones de desbordamiento de búferes en la aplicación.