El equipo de LSE Leading Security Experts ha ganado la Deutsche Post Security Cup celebrada del 29 de abril al 30 de junio de 2013. El concurso estaba diseñado para probar la seguridad de la amplia gama de productos de E-Post.
Los dos probadores de penetración Markus Vervier y Eric Sesterhenn de LSE Leading Security Experts habían pasado dos meses atacando el sistema ampliamente endurecido de E-Post. E-Post es la forma digitalizada de todos los servicios de comunicación de Deutsche Post. Como este sistema tiene varias capas de seguridad, pronto se hizo evidente que los métodos de ataque comunes tenían pocas posibilidades de éxito. Deutsche Post había incorporado varias capas de seguridad, por lo que los dos informáticos tuvieron que desarrollar ataques nuevos y combinados.
Casi ninguno de los fallos conocidos podía ser atacado con un exploit correspondiente. "Tuvimos que buscar nuevos fallos", dice el director del proyecto de la LSE, Markus Vervier, resumiendo el procedimiento. Para ello, los expertos en seguridad utilizaron "métodos manuales" y los llamados "marcos de fuzzing". El equipo descubrió vulnerabilidades en el procesamiento de archivos PDF, en los analizadores de formatos de archivos e incluso en los escáneres de virus.
Con un total de 34 hallazgos, los probadores de la LSE fueron capaces de presentar el mayor número de vulnerabilidades descubiertas a la junta de revisión. Sin embargo, ni ellos ni ningún otro equipo consiguieron comprometer de forma duradera el sistema E-Post o incluso apoderarse de él dentro del marco establecido.
Sven Walther, Director General y CTO de LSE, da por tanto a Correos una puntuación excelente: "Deutsche Post AG ha demostrado un nivel de seguridad extraordinariamente alto con E-Post. Puede reclamar un papel pionero en términos de seguridad en Internet y seguridad informática". |ab