Francia, país que hasta fechas muy recientes padecía una de las legislaciones más restrictivas sobre criptografía del mundo civilizado, se acaba de colgar otra medalla en el terreno de las limitaciones a la información sobre seguridad informática, al condenar un tribunal francés a Guillaume Tena, más conocido por Guillermito.
¿Su "delito"? Haber informado sobre detalles relativos a una vulnerabilidad encontrada en un programa antivirus...
Afirma Guillermito en su web:
"Se acabaron las demostraciones sobre debilidades en programas de seguridad. Ahora está prohibido en mi país. El 8 de Marzo de 2005 he sido condenado por mostrar fallos en un programa antivirus y publicar programas, a modo de prueba de concepto, para demostrarlos. Eso es exactamente lo que hice en una docena de programas de esteganografía, que a menudo contenían agujeros de seguridad tan grandes que podrían ser atravesados por un camión.
Así que ahora tendrán ustedes que creer a los editores de folletos de marketing. Bienvenidos a Disneylandia. Todos los programas esteganográficos son perfectos, supersólidos, irrompibles, indetectables, sin bugs ni fallos. Son todos perfectos. Utilícenlos. Ja ja ja. Menudo chiste."
No estará de más recordar que en España la última modificación del Código Penal introdujo un nuevo delito: informar sobre vulnerabilidades, incitando -eso sí- a lograr el acceso. ¿Cuánto tiempo habrá de pasar hasta que la jurisprudencia empiece a determinar hasta dónde alcanza esa "incitación"? ¿Quién será aquí el primer denunciado por el mero hecho de informar?
Viva la diferencia...
Fernando Acero3 Abril 2005 - 9:38pm
Para que luego digan que el Software Libre no es más seguro, leo Mozilla recompensa con 2.500 dólares a un alemán que encontró cinco fallos de seguridad en Firefox.
¿En qué confiaremos más en un software que premia a los que encuentran fallos o en un software que denuncia por lo mismo? Yo lo tengo claro.
Que aprendan los del software propietario y los que lo defienden... cada día menos argumentos.
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
Creo que es un poco ingenuo t
vonHackelheber11 Marzo 2005 - 1:18am
Creo que es un poco ingenuo tratar de vivir en un mundo donde las empresas que desarrollan tecnologia o software propietario acepten que sus propductos tienen fallas, o entiendan que el camino hacia la solidez y la seguridad de un sistema se alcanza liberando informacion y prestando atencion a aquellos que dedican su tiempo a encontrar errores y a publicarlos.
Sin duda esto es un punto a favor del software libre.
De verdad que adminro Guillaume Tena, a John Johansen (el joven que rompio el cifrado de los DVD) y a todos aquellos que exponen productos inseguros con nombre y apellido. Pero luego son ellos quienes tienen que lidiar con causas judicales y embargos millonarios por parte de las empresas. El precio a pagar es sin duda altisimo.
Seria tal vez una solucion publicar vulnerabilidades en forma anonima?
Desgraciadamente llueve sobre mojado
Fernando Acero10 Marzo 2005 - 10:20pm
En el año 2000 Serge Humpich, un ingeniero francés, descubrió que la clave de seguridad usada por las tarjetas de crédito de determinada entidad financiera francesa.
Parece ser, que por reducir su precio, usaban un chip de seguridad de bajas prestaciones, con una clave de solamente 320 bits. Este ingeniero logró factorizar dicha clave en 4 años y descubrió que podía fabricar una tarjeta de crédito falsa, que funcionase con independencia del número secreto de los usuarios y obtener así, dinero de los cajeros de forma fraudulenta.
Consciente de la importancia de su descubrimiento, contactó con la corporación que operaba estas tarjetas y les avisó del problema. En aquel momento, nadie le hizo caso y la empresa mantuvo una agresiva campaña de información/desinformación, sosteniendo que el sistema era completamente seguro. A la vista de esta campaña de escarnio público, Serge demostró que decía la verdad haciendo una pequeña operación, contra su propia cuenta, con una tarjeta falsa fabricada por él mismo.
Desgraciadamente, lo único que consiguió, fue una denuncia por fraude e intrusión y se expuso a una pena de siete años de prisión, así como a una multa de mas de un millón de euros. De nuevo, nos encontramos ante la negativa de las empresas a reconocer los fallos y lo que es peor, ante el uso de un dispositivo no adecuado para la finalidad que estaba destinado.
En ambos casos, es matar al mensajero... el problema sigue estando en esos programas mal hechos, no en el que encuentra el fallo, que lo cuenta para que lo solucionen, no para que lo exploten. Por otra parte, es lógico que se encuentren fallos si pensamos en que los programas propietarios solamente son revisados por los que los programan, que pueden ser muy pocos y muy presionados para terminar su trabajo a tiempo. También podemos decir, que seguridad por oscurantismo/secretismo, nunca ha sido una buena opción y la historia está llena de ejemplos.
Lo que no piensa esta empresa y otras muchas, es que el hecho de que se encuentre un fallo de seguridad en su software no le perjudica tanto, si lo solucionan a tiempo, que si intenta que no se hable del mismo via juzgado...
¿quién se podría fiar de sus programas a partir de ese momento? A partir de este punto, podría tener muchos fallos y nadie los contaría, por temor a las reacciones "violentas". Este es uno de los motivos por el que me gusta tanto el software libre, no tiene esos problemas, ni otros muchos, por más que le pese a algunos.
Cada día, malas noticias. Ma
Luther Blissett10 Marzo 2005 - 10:17pm
Cada día, malas noticias. Malas, peores, horribles, noticias...
Estoy hasta los mismisimos de aguantar que cada día los jueces den la razon a las grandes empresas, de que los gobiernos favorezcan a las grandes empresas, de que las grandes empresas se hagan cada vez mas grandes y las pequeñás se hagan ínfimas.
Hastaloscojones de Europa y su Union capitalista.
-> ThE FuCkInG sHiT wEbLoG, posiblemente el peor blog de la historia.
Galileo culpable?
sopadeajo10 Marzo 2005 - 9:25pm
El astrofísico inglés, James Jeans ,descubridor teórico de la masa crítica que es necesaria para que una estrella se forme (3000 masas solares,creo,si Sac no me corrige),tiene un libro,de cuyo nombre no puedo acordarme,en el que dedica unas 10 páginas a alabar la figura genial y teórica de Galileo Galilei.Concluye,diciendo,que la condena a Galileo por el poder católico y político de los países latinos,marca el final del despegue industrial,intelectual y tecnológico de estos últimos,en favor de los países protestantes y no latinos.
En efecto,a Newton,le permiten trabajar en paz.
Es muy grave,que por descubrir algo,te condenen.
Por lo mismo,podrían condenar a los chinos que han roto SHA1.
Lo hicieron también los estadounidenses con aquél ruso que descubrió una vulnerabilidad en la protección de los e-libros de Adobe.
Es una pena que un país con tanto pedigrí científico como Francia se deje llevar por la razón esquilmadora del dinero por el dinero de las grandes compañías de software.Una auténtica vergüenza, y un insulto a la inteligencia.
Sobre "motivos"
Reverendo (no verificado)10 Marzo 2005 - 6:05pm
Bueno, los motivos pueden ser tantos como diversa es la condición humana, pero desde este lado, que no exactamente es el suyo, me parece preferible tener acceso a la información sobre fallos en productos que se nos venden como ultraseguros, a que esa información sólo esté disponible para el fabricante o los chicos malos.
Por el contrario ¿qué estaríamos diciendo si nos enteráramos de que el protagonista de la historia estaba compinchado con el fabricante para obtener sus favores a costa de mantenernos a todos en la ignorancia? Seguro que como motivación tampoco nos haría felices.
Por "haber informado"
ivalladt10 Marzo 2005 - 6:00pm
puede entenderse, haber informado al fabricante, o haber hecho públicas las vulnerabilidades por según qué motivos. No parece lo mismo.
Sobre el bueno de Guillaume, nada que decir, no tengo el gusto.