Detectan graves fallos en un cortafuegos que se anuncia como "inhackeable"

18:51 06/02/03

DETECTAN GRAVES FALLOS EN UN CORTAFUEGOS QUE SE ANUNCIA COMO 100% "INHACKEABLE"
Mercè Molist
Les llevó sólo una mañana "romper" el aparato. Dos analistas informáticos de Barcelona paladean la miel de la victoria después de haber encontrado fallos irreversibles en el producto "AlphaShield", que se vende como cortafuegos para líneas ADSL, "100% inhackeable o le devolvemos su dinero". El verano pasado, la empresa canadiense que lo fabrica convocó un concurso, donde ofrecía un millón de dólares a quien encontrase algún fallo de forma remota. Hugo Vázquez y Toni Cortés decidieron investigarlo por su cuenta.
Y descubrieron que "AlphaShield" era vulnerable a diversos ataques que permiten a un instruso saltarse las barreras del cortafuegos sin mucho esfuerzo, mediante la "inyección" de tráfico fraudulento. "El fallo no tiene solución porque no es de "software" sinó de diseño", afirma Hugo Vázquez. Aunque el aviso ha aparecido en populares sitios de seguridad como "Bugtraq" o "The Register", la empresa sigue publicitando el aparato en su web como "inhackeable" y ganador de diversos premios y asegura en una nota de prensa que el procedimiento para dar con el fallo no ha sido correcto ya que no se basa en un escenario real.
Vázquez se defiende: "No se trata de evaluar cuan difícil de explotar es la vulnerabilidad, sinó de determinar si realmente existe. Y existe. Presentaban su dispositivo como la solución mágica a las conexiones ADSL para usuarios caseros. Se preparaban para realizar un concurso este verano, de un millón de dólares, iba a ser "El Concurso", aunque nadie sabe si se celebró. Entonces, pedimos una unidad de prueba a Canadá. Nos la enviaron con los "chips" tapados con esmalte negro, para que no viéramos cuáles eran. Patético. Y un timo: lo venden a unas diez veces por encima del precio de coste".
El aparato, según Váquez, "debería realizar un seguimiento de las conexiones que realiza el usuario al que protege. Si visita una página web, debería identificar el tráfico legítimo entre el servidor y el cliente y permitir sólo éste. Pero el seguimiento no se produce y un atacante puede "inyectar" tráfico no autorizado, comprometiendo así la comunicación. También dice que protege de "troyanos", pero no de los que se conectan desde dentro. Tardamos menos de dos horas en ver el problema".
No es ésta la primera vez que un producto probado en un concurso, fraudulento o no, acaba mordiendo el polvo. El criptólogo Bruce Schneier avisó en su momento de que "una tecnología no es necesariamente segura porque nadie la haya vencido durante una competición de "hacking"".

Hugo Vázquez y Toni Cortés
http://www.infohacking.com
AlphaShield
http://www.alphashield.com
Bugtraq
http://online.securityfocus.com/bid/6637/discussion
The Register
http://www.theregister.co.uk/content/55/29118.html

Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.

<<