[HACK] Hackean cortafuegos inhackeable

Thu Feb 27 20:06:03 CET 2003

18:51 06/02/03

DETECTAN  GRAVES  FALLOS  EN  UN  CORTAFUEGOS QUE SE ANUNCIA COMO 100%
"INHACKEABLE"

Mercè Molist
Les   llevó  sólo  una  mañana  "romper"  el  aparato.  Dos  analistas
informáticos  de  Barcelona paladean la miel de la victoria después de
haber  encontrado  fallos  irreversibles en el producto "AlphaShield",
que se vende como cortafuegos para líneas ADSL, "100% inhackeable o le
devolvemos  su dinero". El verano pasado, la empresa canadiense que lo
fabrica  convocó  un  concurso,  donde  ofrecía un millón de dólares a
quien  encontrase  algún  fallo  de  forma remota. Hugo Vázquez y Toni
Cortés decidieron investigarlo por su cuenta.

Y descubrieron que "AlphaShield" era vulnerable a diversos ataques que
permiten a un instruso saltarse las barreras del cortafuegos sin mucho
esfuerzo, mediante la "inyección" de tráfico fraudulento. "El fallo no
tiene solución porque no es de "software" sinó de diseño", afirma Hugo
Vázquez. Aunque el aviso ha aparecido en populares sitios de seguridad
como  "Bugtraq"  o  "The  Register",  la empresa sigue publicitando el
aparato  en  su web como "inhackeable" y ganador de diversos premios y
asegura  en  una  nota  de prensa que el procedimiento para dar con el
fallo no ha sido correcto ya que no se basa en un escenario real.

Vázquez  se defiende: "No se trata de evaluar cuan difícil de explotar
es  la  vulnerabilidad,  sinó  de  determinar  si  realmente existe. Y
existe.  Presentaban  su  dispositivo  como  la  solución mágica a las
conexiones  ADSL para usuarios caseros. Se preparaban para realizar un
concurso  este  verano,  de  un  millón  de  dólares,  iba  a  ser "El
Concurso",  aunque  nadie  sabe  si  se celebró. Entonces, pedimos una
unidad de prueba a Canadá. Nos la enviaron con los "chips" tapados con
esmalte  negro, para que no viéramos cuáles eran. Patético. Y un timo:
lo venden a unas diez veces por encima del precio de coste".

El  aparato,  según  Váquez,  "debería  realizar un seguimiento de las
conexiones que realiza el usuario al que protege. Si visita una página
web,  debería  identificar  el tráfico legítimo entre el servidor y el
cliente  y  permitir sólo éste. Pero el seguimiento no se produce y un
atacante puede "inyectar" tráfico no autorizado, comprometiendo así la
comunicación.  También  dice que protege de "troyanos", pero no de los
que  se  conectan  desde dentro. Tardamos menos de dos horas en ver el
problema".

No  es  ésta  la  primera  vez que un producto probado en un concurso,
fraudulento  o  no,  acaba  mordiendo  el  polvo.  El criptólogo Bruce
Schneier   avisó   en   su  momento  de  que  "una  tecnología  no  es
necesariamente  segura  porque  nadie  la  haya  vencido  durante  una
competición de "hacking"".

Hugo Vázquez y Toni Cortés 
http://www.infohacking.com
AlphaShield
http://www.alphashield.com
Bugtraq
http://online.securityfocus.com/bid/6637/discussion
The Register
http://www.theregister.co.uk/content/55/29118.html

Copyright (C) 2003 Mercè Molist.
Verbatim  copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.