Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Detectan graves fallos en un cortafuegos "inhackeable"
 
VSantivirus No. 966 - Año 7 - Viernes 28 de febrero de 2003

Detectan graves fallos en un cortafuegos "inhackeable"
http://www.vsantivirus.com/mm-alphashield.htm

Detectan graves fallos en un cortafuegos que se anuncia como 100% "inhackeable"

Por Mercè Molist (*)
colaboradores@videosoft.net.uy


Les llevó sólo una mañana "romper" el aparato. Dos analistas informáticos de Barcelona paladean la miel de la victoria después de haber encontrado fallos irreversibles en el producto "AlphaShield", que se vende como cortafuegos para líneas ADSL, "100% inhackeable o le devolvemos su dinero". El verano pasado, la empresa canadiense que lo fabrica convocó un concurso, donde ofrecía un millón de dólares a quien encontrase algún fallo de forma remota. Hugo Vázquez y Toni Cortés decidieron investigarlo por su cuenta.

Y descubrieron que "AlphaShield" era vulnerable a diversos ataques que permiten a un intruso saltarse las barreras del cortafuegos sin mucho esfuerzo, mediante la "inyección" de tráfico fraudulento. "El fallo no tiene solución porque no es de "software" sino de diseño", afirma Hugo Vázquez. Aunque el aviso ha aparecido en populares sitios de seguridad como "Bugtraq" o "The Register", la empresa sigue publicitando el aparato en su web como "inhackeable" y ganador de diversos premios y asegura en una nota de prensa que el procedimiento para dar con el fallo no ha sido correcto ya que no se basa en un escenario real.

Vázquez se defiende: "No se trata de evaluar cuan difícil de explotar es la vulnerabilidad, sino de determinar si realmente existe. Y existe. Presentaban su dispositivo como la solución mágica a las conexiones ADSL para usuarios caseros. Se preparaban para realizar un concurso este verano, de un millón de dólares, iba a ser "El Concurso", aunque nadie sabe si se celebró. Entonces, pedimos una unidad de prueba a Canadá. Nos la enviaron con los "chips" tapados con esmalte negro, para que no viéramos cuáles eran. Patético. Y un timo: lo venden a unas diez veces por encima del precio de coste".

El aparato, según Vázquez, "debería realizar un seguimiento de las conexiones que realiza el usuario al que protege. Si visita una página web, debería identificar el tráfico legítimo entre el servidor y el cliente y permitir sólo éste. Pero el seguimiento no se produce y un atacante puede "inyectar" tráfico no autorizado, comprometiendo así la comunicación. También dice que protege de "troyanos", pero no de los que se conectan desde dentro. Tardamos menos de dos horas en ver el problema".

No es ésta la primera vez que un producto probado en un concurso, fraudulento o no, acaba mordiendo el polvo. El criptólogo Bruce Schneider avisó en su momento de que "una tecnología no es necesariamente segura porque nadie la haya vencido durante una competición de "hacking"".


Hugo Vázquez y Toni Cortés 
http://www.infohacking.com

AlphaShield
http://www.alphashield.com

Bugtraq
http://online.securityfocus.com/bid/6637/discussion

The Register
http://www.theregister.co.uk/content/55/29118.html


(*) Copyright (C) 2003 Mercè Molist.
Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS