Fallos en un cortafuegos anunciado como "inhackeable"


Les llevó sólo una mañana romper el firewall. Dos analistas informáticos de Barcelona encontraron fallos irreversibles en AlphaShield, cortafuegos para líneas ADSL, "100% inhackeable o le devolvemos su dinero", según su publicidad. El verano pasado, la empresa canadiense que lo fabrica convocó un concurso, donde ofrecía un millón de dólares a quien encontrase algún fallo de forma remota.





Hugo Vázquez y Toni Cortés descubrieron que AlphaShield era vulnerable a diversos ataques que permiten a un instruso saltarse las barreras del cortafuegos sin mucho esfuerzo, mediante la inyección de tráfico fraudulento. "El fallo no tiene solución, porque no es de software sino de diseño", afirma Hugo Vázquez.



Aunque el aviso ha aparecido en populares sitios de seguridad como Bugtraq o The Register, la empresa sigue haciendo publicidad del aparato en su web como "inhackeable" y ganador de diversos premios. La empresa asegura en una nota de prensa que el procedimiento para dar con el fallo no ha sido correcto, ya que no se basa en un escenario real.



Hugo Vázquez se defiende: "No se trata de evaluar cuan difícil de explotar es la vulnerabilidad, sino de determinar si realmente existe. Y existe".



Vázquez recuerda que la empresa canadiense presentaba su aparato como la solución mágica a las conexiones ADSL para usuarios caseros.



"Se preparaban", añade, "para realizar un concurso este verano, de un millón de dólares, iba a ser El Concurso, aunque nadie sabe si se celebró. Entonces, pedimos una unidad de prueba a Canadá. Nos la enviaron con los chips tapados con esmalte negro, para que no viéramos cuáles eran. Patético. Lo venden a unas 10 veces por encima del precio de coste del producto". El aparato, según Váquez, "debería realizar un seguimiento de las conexiones que realiza el usuario al que protege. Si visita una página web, debería identificar el tráfico legítimo entre el servidor y el cliente y permitir sólo éste. Pero el seguimiento no se produce y un atacante puede inyectar tráfico no autorizado, comprometiendo así la comunicación. También dice que protege de troyanos, pero no de los que se conectan desde dentro. Tardamos menos de dos horas en ver el problema".



No es ésta la primera vez que un producto probado en un concurso, fraudulento o no, acaba con fallos al descubierto. El criptólogo Bruce Schneier avisó en su momento de que "una tecnología no es necesariamente segura por que nadie la haya vencido durante una competición de hacking".










VÁZQUEZ Y CORTÉS:
www.infohacking.com
ALPHASHIELD:
www.alphashield.com
BUGTRAQ:
online.securityfocus.com/bid/6637/discussion
THE REGISTER:
www.theregister.co.uk/content/55/29118.html

Otras noticias de interés:

El arma infalible: la Ingeniería Social
Los seres humanos con frecuencia solemos pecar de vanidosos. La vanidad es la que no nos permite ver lo sencillo que puede resultar engañarnos. La vanidad no nos permite ver lo obvio: nosotros sabemos algo que por algún motivo puede ser útil para ...
La policía francesa sustituye Microsoft por GNU/Linux
Se convierte así en una de las grandes administraciones del mundo que decide confiar en Linux y dejar a un lado al sacrosanto Windows....
Vulnerabilidad afecta a varios clientes FTP
Se ha descubierto una vulnerabilidad que afecta a múltiples clientes FTP y que podría permitir potencialmente a un atacante remoto ejecutar código arbitrario a través de un servidor FTP malicioso....
Investigador hindú rompe el sistema de protección Windows Genuine Advantage
Debasis Mohanty, un investigador de origen hindú ha conseguido romper el sistema de protección WGA (Windows Genuine Advantage) de Microsoft. Para ello se ha valido de una herramienta denominada genuinecheck.Exe desarrollada por él mismo....
Chile prepara una ley contra el correo basura o "spam"
El Servicio Nacional del Consumidor de Chile (www.sernac.cl) está elaborando una serie de normas que prohibirán y castigarán el envío de e-mails no deseados. ...
Microsoft alerta de que un virus troyano que afecta a cuentas de Facebook
Que la red social Facebook no es segura es algo que ya se había dicho muchas veces, y ahora Microsoft ha anunciado en su blog Malware Protection Center que han descubierto un virus troyano que, con la apariencia de una extensión para Mozilla Firefo...
Niños burlan con facilidad las restricciones
Muchos padres parecen creer que manejan más conocimientos que sus hijos en el computador, y que pueden filtrar lo que visitan en internet. Pero una encuesta realizada por McAfee reveló que un 50% de los niños australianos sabe cómo esconder su ac...
Como reconocer si su ordenador se encuentra en una botnet
Una botnet o red bot, es una red de máquinas zombies que realizan acciones programadas remotamente por un atacante externo. ...
El nuevo software antivirus analiza los comportamientos, no las firmas
Se podría argumentar que los proveedores de seguridad están perdiendo la batalla contra los estafadores en línea cuyos programas se introducen en computadoras y dejan programas maliciosos, que abren las computadoras a ataques remotos y las convier...
Un nuevo amanecer informático la Web 3.0
En el sitio eluniverso.com han publicado un artículo bastante interesante sobre los comentarios que emitió Ray Ozzie ex número dos de Microsoft....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • anunciado
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cortafuegos
  • debian
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • inhackeable
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra