Lisandro Pardo
La seguridad informática no es un problema exclusivo de corporaciones y agencias gubernamentales. Muchos productos destinados al consumo general han demostrado ser increíblemente inseguros, y los routers comerciales no son la excepción. Poco antes de la próxima DEFCON 22, se llevará a cabo la competencia SOHOpelessly BROKEN, en la cual los participantes deberán pulverizar la seguridad de los routers más populares del mercado.
Ya es suficientemente difícil convencer a un usuario de ajustar la configuración en su router para hacerlo más seguro. Como si eso fuera poco, también debemos considerar el hecho de que los fabricantes no hacen un gran trabajo corrigiendo vulnerabilidades. Las actualizaciones de firmware pueden demorar meses enteros, y en algunos casos, nunca se publican updates disponibles al público, porque en una típica acción de obsolescencia programada, el fabricante prefiere lanzar un nuevo producto, “más robusto” que el anterior. Los desarrollos de firmware alternativos ayudan mucho, pero los procesos de instalación son demasiado avanzados para resultar prácticos. Poco antes del DEFCON 22, el curso de acción será uno solo: Cortar a estos routers como si fueran manteca en una competencia.
El nombre oficial es SOHOpelessly BROKEN, y será organizada por la ISE (Independent Security Evaluators) y la Electronic Frontier Foundation. Los competidores tendrán la chance de participar en dos circuitos: El primero estará concentrado en demostrar vulnerabilidades 0-day sobre routers comerciales, compartir la información de los exploits con los organizadores y realizar una demo pública en el área de concursos de la DEFCON 22, que se llevará a cabo entre el 7 y el 12 de agosto. El otro circuito adoptará una mecánica de “capture the flag”, en la cual los hackers se enfrentarán a diez routers SOHO disponibles en el mercado, que han sido “reforzados”, pero que aún sufren de vulnerabilidades conocidas. A mayor cantidad de bugs descubiertos, más alta será la cantidad de puntos otorgados.
Los premios aún deben ser anunciados, y entre la lista de routers, encontramos productos de Linksys, Asus, TRENDNet, Netgear, TP-Link, D-Link, Belkin, y el Open Wireless Router de la EFF. Diferentes competencias han ayudado a los navegadores web a mejorar su seguridad, y creo que es hora de que suceda lo mismo con los routers. Hogares y compañías enteras se apoyan en dispositivos comerciales de bajo costo, que pueden tener más agujeros de los que imaginamos. Entiendo que la mayoría de los exploits probablemente sean bastante complicados de implementar, pero esto también ayuda a encontrar errores groseros que necesitan ser corregidos de inmediato. En una época, creíamos que el protocolo WEP era seguro. ¿Por qué vamos a pensar lo mismo del firmware en un router…?
