Fallos en un cortafuegos anunciado como 'inhackeable'
Les llevó sólo una mañana romper el aparato. Dos analistas informáticos de Barcelona encontraron fallos irreversibles en AlphaShield, cortafuegos para líneas ADSL, "100% inhackeable o le devolvemos su dinero", según su publicidad. El verano pasado, la empresa canadiense que lo fabrica convocó un concurso, donde ofrecía un millón de dólares a quien encontrase algún fallo de forma remota.
Hugo Vázquez y Toni Cortés descubrieron que AlphaShield era vulnerable a diversos ataques que permiten a un instruso saltarse las barreras del cortafuegos sin mucho esfuerzo, mediante la in...
Les llevó sólo una mañana romper el aparato. Dos analistas informáticos de Barcelona encontraron fallos irreversibles en AlphaShield, cortafuegos para líneas ADSL, "100% inhackeable o le devolvemos su dinero", según su publicidad. El verano pasado, la empresa canadiense que lo fabrica convocó un concurso, donde ofrecía un millón de dólares a quien encontrase algún fallo de forma remota.
Hugo Vázquez y Toni Cortés descubrieron que AlphaShield era vulnerable a diversos ataques que permiten a un instruso saltarse las barreras del cortafuegos sin mucho esfuerzo, mediante la inyección de tráfico fraudulento. "El fallo no tiene solución, porque no es de software sino de diseño", afirma Hugo Vázquez.
Aunque el aviso ha aparecido en populares sitios de seguridad como Bugtraq o The Register, la empresa sigue haciendo publicidad del aparato en su web como "inhackeable" y ganador de diversos premios. La empresa asegura en una nota de prensa que el procedimiento para dar con el fallo no ha sido correcto, ya que no se basa en un escenario real.
Hugo Vázquez se defiende: "No se trata de evaluar cuan difícil de explotar es la vulnerabilidad, sino de determinar si realmente existe. Y existe".
Vázquez recuerda que la empresa canadiense presentaba su aparato como la solución mágica a las conexiones ADSL para usuarios caseros.
"Se preparaban", añade, "para realizar un concurso este verano, de un millón de dólares, iba a ser El Concurso, aunque nadie sabe si se celebró. Entonces, pedimos una unidad de prueba a Canadá. Nos la enviaron con los chips tapados con esmalte negro, para que no viéramos cuáles eran. Patético. Lo venden a unas 10 veces por encima del precio de coste del producto". El aparato, según Váquez, "debería realizar un seguimiento de las conexiones que realiza el usuario al que protege. Si visita una página web, debería identificar el tráfico legítimo entre el servidor y el cliente y permitir sólo éste. Pero el seguimiento no se produce y un atacante puede inyectar tráfico no autorizado, comprometiendo así la comunicación. También dice que protege de troyanos, pero no de los que se conectan desde dentro. Tardamos menos de dos horas en ver el problema".
No es ésta la primera vez que un producto probado en un concurso, fraudulento o no, acaba con fallos al descubierto. El criptólogo Bruce Schneier avisó en su momento de que "una tecnología no es necesariamente segura por que nadie la haya vencido durante una competición de hacking".