La edición de este año del IGC (Internet Global Congres) se celebra del 10 al 14 de Mayo, en el Palacio de Congresos de la Fira de Barcelona.
En esta sexta edición el congreso se denomina IGC/INET puesto que junta las tradicionales conferencias del forum internacional sobre internet de la Internet Society, el INET (en su decimosexta edición este año), con las del IGC.
A parte de lo interesante que pueda suponer el ciclo de conferencias sobre las nuevas tecnologías, su desarrollo y aplicación (el evento contará con la participación de Stephane Koch, miembro de la Internet Society, Steve Bellovinun, responsable de AT&T, y representantes de e-laCaixa, Acens Technologies, Panda Software, IBM, InetSecur, etc…), este año convocan por primera vez un concurso de seguridad patrocinado por Xifra Networks, dentro de la jornada que dedicarán íntegramente a los nuevos peligros que acechan en la Red.
Concurso de seguridad en internet.
[…] convocatoria del primer concurso de seguridad en colaboración con Xifra Networks: la empresa, especializada en protección de sistemas informáticos, publicará en una página web (secreta, por el momento) un fichero protegido por su nuevo firewall de última generación, el Surenet XN-3000.
comenzará el martes 11 de mayo […]. Un representante de Xifra Networks anunciará la dirección web donde se encuentra el fichero; a partir de entonces, los participantes dispondrán de 60 horas (hasta las 19 h. del jueves) para acceder [al fichero] y comunicarlo al Notario de Barcelona. El premio asciende a 6.000 euros y se entregará durante la cena IGC el jueves 13.
Lo curioso del tema es que parece un premio trampa, ya que, si alguien consigue el fichero en cuestión, quedaría en entredicho la seguridad del nuevo producto que justamente intentan publicitar con el concurso… y no creo que se la quieran jugar así como así :-)
Efectivamente, estoy en IGC y los comentarios de los patrocinadores son elocuentes, textualmente :
… mira éste imbecil que está entrando… le voy a bloquear la IP… (impresionante !).
… hasta el momento llevamos 20 mil ataques (seguro que son escaneos de puertos y los cuentan como ataques…).
Cómo podeís a parte de ser unos frikis no tienen demasiada ideal del tema.
Saludos,
Cuanta razón, yo también he estado por su stand y van de guais.
Yo no tengo ni idea de hackear na de na, pero no creo que sea muy dificil para algún hacker güeno güeno, espero que además de pillarles el fichero y los 6000 eurakos, les peten la máquina y dejen su sistema ‘inteligente’ de firewall a la altura del betún!
Les escribimos, básicamente, para transmitirles nuestro profundo desacuerdo con el concurso de seguridad informática organizado por XIFRA y englobado dentro del IGC. Parece que lo más importante de este concurso no es el concurso en si, sino que se hable de él en los medios, de manera que una empresa que sale de la nada y que nadie conoce aparezca en todos los medios, por ello XIFRA se ha preocupado más de su aparición en los medios que de la organización del concurso… por ese motivo el concurso es un auténtico fraude mal organizado.
– El concurso ha sido montado a última hora. A primera hora de la mañana la máquina del concurso no estaba lista, y se podía ver la pagina por defecto del servidor Apache.
– La web a atacar es una web estática diseñada en 5 minutos. No hay ni un sólo texto explicativo, ni emula una situación real ¿que empresa corporativa tiene en producción una web como la del concurso? Ninguna.
– No hay ni una sola web con información detallada sobre las normas y objetivos del concurso.
– No existe ni un simple formulario de registro al concurso.
– Han vendido el concurso como «el primer concurso de seguridad informática en Internet», algo totalmente falso, pues ha habido MUCHOs anteriores.
– Un concurso de estas características no puede demostrar la seguridad de un producto, y mucho menos si no hay condición de control; Un servidor sin firewall para comprobar que era atacable sin él.
XIFRA ha mentido a la pemsa para hacerse publicidad gratuita con esta noticia virica que se ha expandido por muchos noticiarios y weblogs en mucho tiempo, y gracias a ello han pasado de anonimos a conocidos.
– Mentira 1: Son el primer concurso de seguridad informática en Internet.
– Mentira 2: Su producto es un firewall de nueva generación.
– Mentira 3: El firewall es inteligente.
En definitiva. Este concurso es un fraude, una simple maniobra de marketting que permitirá a la gente de XIFRA decir que su firewall (que no es más que una máquina con un sistema operatible libre y reconocido, freeBSD, con 4 programillas en java innecesarios para gestionar los filtros) ha parado 1000 ataques por minuto, algo totalmente falso, pues el entorno del juego no ofrece tan siquiera la oportunidad de atacarlo
Para más información, pueden leer este debate sobre los concursos subvencionados por empresas:
http://www.ieee-security.org/Cipher/Newsbriefs/1996/960212.challenges.html
Lamentablemente una vez más no escontramos ante una empresa que busca publicitarse de la forma más fácil y rápida que existe actualmente en estos medios.
Su Apache 2.047 (sin parchear) con un BSD corriendo no es algo que se pueda decir seguro, si bien es cierto que BSD en su linea Open es lo más seguro que encontré por el net.
Sinceramente, a veces hay quien confunde el trafico ICMP y otras yerbas con ataques puros y duros a firewalls que no llegan a la altura de un buen honeypot. :P