В связи с прекращением развития такого замечательного jabber клиента как Pandion (последняя доступная версия 2.6.114 вышла 10 апреля 2013 года), было решено выяснить, какая толковая альтернатива существует для связки jabber сервера Openfire и клиента Pandion, которые использовались в моём случае для обмена сообщениями внутри небольшой организации.

Клиент в лице Pandion радовал своими возможностями и удобством использования, но в последних версиях он лишился обмена файлами, а количество обнаруженных багов начинало давать о себе знать: высокая нагрузка на процессор при смене темы в ОС или удалённом подключении к ПК с использованием ПО для удалённого управления, частые вылеты со ссылкой на библиотеку msxml6.dll, проблемы в работе некоторого функционала из-за отсутствия поддержки движка новых версий Internet Explorer, ситуации с неполучением сообщений от других пользователей и некоторые другие неприятные мелочи. В принципе достаточно было бы установить новую версию OpenFire и начать использовать альтернативный клиент, например, Miranda, что в дальнейшем и было сделано, но до этого меня заинтересовал сетевой чат MyChat от украинских разработчиков из NetworkSoftwareSolutions.

Я давно увлекаюсь информационной безопасностью, но одно дело – понимание поверхностной логики работы программного обеспечения, и совершенно другое – понимание логики его внутренней реализации. Внешне любая программа может выглядеть замечательно и гармонично, создавая иллюзию полной безопасности и защищённости, но стоит углубиться, копнуть глубже, и на поверхности окажутся нелицеприятные факты, которые могут привести к взлому системы и, в конечном счёте, к утечке или потере данных, а также временным и финансовым потерям. Причиной наличия уязвимости в приложении может быть как банальная невнимательность, катастрофическая нехватка времени, алгоритмическая или архитектурная сложность, незнание особенностей работы или реализации стороннего API, так и корыстный умысел. Зачастую сложно судить о том, что конкретно могло послужить причиной возникновения той либо иной уязвимости, но более важным моментом является скорость реакции разработчиков по её устранению.

Сегодня же пойдёт речь об уязвимости, обнаруженной мной в процессе знакомства с программным комплексом для IP-камер MACROSCOP от резидента технопарка «Сколково» компании ООО «Сателлит» (г. Пермь). MACROSCOP является именно программным комплексом, так как в состав решения входит целый ряд приложений: серверная и «всё в одном» часть для операционных систем семейства Microsoft Windows (от развития Linux решения разработчики недавно отказались), клиентская часть для Windows, Android, iOS и Windows Phone, конфигуратор, программа подключения Web-камер, проигрыватель файлов собственного формата, программа локального просмотра и резервного копирования архива, программа мониторинга состояния системы, различные интеллектуальные модули, а также приложения для интеграции с некоторыми сторонними системами и широкие возможности по интеграции с любым программным обеспечением посредством SDK. В MACROSCOP много плюсов и, тем не менее, он не лишён недостатков, чему можно посвятить отдельную статью: ведь не всегда разработчики афишируют отрицательные стороны своего продукта.