Fallos en un cortafuegos anunciado como "inhackeable"


Les llevó sólo una mañana romper el firewall. Dos analistas informáticos de Barcelona encontraron fallos irreversibles en AlphaShield, cortafuegos para líneas ADSL, "100% inhackeable o le devolvemos su dinero", según su publicidad. El verano pasado, la empresa canadiense que lo fabrica convocó un concurso, donde ofrecía un millón de dólares a quien encontrase algún fallo de forma remota.





Hugo Vázquez y Toni Cortés descubrieron que AlphaShield era vulnerable a diversos ataques que permiten a un instruso saltarse las barreras del cortafuegos sin mucho esfuerzo, mediante la inyección de tráfico fraudulento. "El fallo no tiene solución, porque no es de software sino de diseño", afirma Hugo Vázquez.



Aunque el aviso ha aparecido en populares sitios de seguridad como Bugtraq o The Register, la empresa sigue haciendo publicidad del aparato en su web como "inhackeable" y ganador de diversos premios. La empresa asegura en una nota de prensa que el procedimiento para dar con el fallo no ha sido correcto, ya que no se basa en un escenario real.



Hugo Vázquez se defiende: "No se trata de evaluar cuan difícil de explotar es la vulnerabilidad, sino de determinar si realmente existe. Y existe".



Vázquez recuerda que la empresa canadiense presentaba su aparato como la solución mágica a las conexiones ADSL para usuarios caseros.



"Se preparaban", añade, "para realizar un concurso este verano, de un millón de dólares, iba a ser El Concurso, aunque nadie sabe si se celebró. Entonces, pedimos una unidad de prueba a Canadá. Nos la enviaron con los chips tapados con esmalte negro, para que no viéramos cuáles eran. Patético. Lo venden a unas 10 veces por encima del precio de coste del producto". El aparato, según Váquez, "debería realizar un seguimiento de las conexiones que realiza el usuario al que protege. Si visita una página web, debería identificar el tráfico legítimo entre el servidor y el cliente y permitir sólo éste. Pero el seguimiento no se produce y un atacante puede inyectar tráfico no autorizado, comprometiendo así la comunicación. También dice que protege de troyanos, pero no de los que se conectan desde dentro. Tardamos menos de dos horas en ver el problema".



No es ésta la primera vez que un producto probado en un concurso, fraudulento o no, acaba con fallos al descubierto. El criptólogo Bruce Schneier avisó en su momento de que "una tecnología no es necesariamente segura por que nadie la haya vencido durante una competición de hacking".










VÁZQUEZ Y CORTÉS:
www.infohacking.com
ALPHASHIELD:
www.alphashield.com
BUGTRAQ:
online.securityfocus.com/bid/6637/discussion
THE REGISTER:
www.theregister.co.uk/content/55/29118.html

Otras noticias de interés:

Grupo de parches de enero para diversos productos Oracle
Oracle ha publicado un conjunto de cincuenta parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. ...
Actualización para Google Chrome resuelve dos vulnerabilidades
A pesar de que no ha pasado mucho tiempo desde la última actualización (poco más de dos semanas), Google ha tenido que publicar una nueva versión de Chrome para solucionar dos vulnerabilidades catalogadas como críticas....
No más soporte a Fedora 11 Leonidas
En un mensaje publicado por uno de los Desarrolladores de esta importante distribución indicó: Fedora 11 has reached its end of life for updates....
Microsoft cubrirá dos fallos críticos en Windows el próximo martes
Microsoft ha anunciado que en la actualización mensual de seguridad que emitirá el próximo martes incluirá sólo dos actualizaciones para cubrir tres vulnerabilidades en Windows....
Nokia libera código para la comunidad de código abierto
Nokia ha anunciado que abrirá el código fuente Python para teléfonos S60. Python es un lenguaje de programación de fuente abierta disponible gratuitamente para los desarrolladores....
El BYOD sin freno genera brechas de seguridad, dice Dell
Aunque el BYOD hace que las empresas sean más ágiles y mantienen a los trabajadores contentos, las empresas que acepten estas políticas necesitan seguir una estrategia más segura....
El software libre está maduro para entrar masivamente en la Administración
70 expertos en software libre de la administración europea, representantes de la industria, científicos y organizaciones de consumidores participaron en la jornada Encarcelados en el Parlamento Europeo, organizada por el eurodiputado David Hammerst...
Alerta de seguridad: MACDefender.app
Intego ha hecho pública la existencia de un software malicioso que aprovecha el posicionamiento de imágenes en los motores de búsqueda para ofrecer un falso programa que se descarga automáticamente al entrar en la página en la que lo aloja usand...
#Opera 11.60 Tunny, antes de Wahoo
Los responsables de desarrollo de Opera han decidido lanzar una actualización de su navegador, cuyo nombre en clave es Tunny (Atún). Corresponde a Opera 11.60 y precederá el lanzamiento de la versión mayor Opera 12.0 Wahoo....
BMW apuesta por GNU/Linux en el sistemas electrónicos de sus vehículo
El fabricante bávaro de automóviles y motocicletas solicita la unión del resto de la industria a su esfuerzo por desarrollar una plataforma de software abierta para sistemas electrónicos de vehículos, como la asistencia al conductor o el ocio...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • anunciado
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cortafuegos
  • debian
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • inhackeable
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra