Juicio contra la seguridad informática y el "full disclosure"


Un científico francés se enfrenta a una posible pena máxima de 2 años de cárcel y multa de 150.000 euros, tras haber sido demandado por descubrir y publicar varias debilidades en un software antivirus que anunciaba detectar el 100% de virus conocidos y desconocidos. A la espera del fallo por parte de la justicia francesa, el resultado podría crear un importante precedente en este país sobre la investigación independiente en materia de seguridad informática.





Guillaume T. desarrolla actualmente su trabajo en Boston como
investigador en biología molecular, tanto en el departamento de
Genética de la Universidad de Harvard como en el Hospital General de
Massachusetts. Como parte de sus aficiones, Guillaume, publica en su
página web personal, bajo el apodo de "Guillermito", algunos análisis
sobre vulnerabilidades que ha detectado en diversas soluciones de
seguridad. El seudónimo responde simplemente a un guiño a sus raíces,
ya que sus abuelos eran españoles y migraron a Francia antes del
comienzo de la Guerra Civil.

En octubre del pasado año Guillaume tuvo que regresar a Francia para
responder algunas cuestiones de L'Office Central de Lutte contre la
Criminalité liée aux Technologies de l'Information et de la
Communication (O.C.L.C.T.I.C.), grupo de la policía que se encarga
de los casos relacionados con las tecnologías de la información, y
que llevó a cabo algunas acciones preventivas como desactivar el
servidor web de "Guillermito".

El pasado mes de marzo, Guillaume se vio forzado de nuevo a volar a
París para acudir al Juzgado de Instrucción de la capital francesa,
atendiendo a la convocatoria de primera comparecencia sobre una
acusación de Tegam International por presunta "falsificación de
programas informáticos y ocultación de estos delitos", escudándose
para ello en varios artículos del código de la propiedad intelectual
y el código penal.

El origen de la acusación se encuentra en un análisis que Guillaume
publicó en su sitio web en marzo de 2002, en el cual documentaba
varias vulnerabilidades en Viguard, software antivirus de Tegam
International que anunciaba como 100% seguro contra virus conocidos
y desconocidos. En el artículo publicado, Guillaume analizaba algunos
posibles ataques contra Viguard, demostrando que no ofrecía la
protección que anunciaba, con varios ejemplos prácticos basados en
virus conocidos y otras pruebas de concepto diseñadas para la ocasión.

En un principio Tegam Internacional emprendió una agresiva campaña de
marketing, con anuncios en publicaciones donde literalmente llamaba
"terrorista informático" a "Guillermito". Acusación que cobra una
especial relevancia si tenemos en cuenta que apenas habían
transcurridos unos meses desde el 11 de septiembre. Posteriormente
emprendería las acciones judiciales anteriormente comentadas.

En estos momentos el caso se encuentra en periodo de instrucción,
bajo el estudio de la juez que está requiriendo a las partes sus
argumentaciones y pruebas. Aunque aún está por conocer la decisión
de la justicia, a priori parece que Tegam International está
obteniendo las primeras victorias colaterales de su estrategia.

El sitio web de Guilleme que hospedaba en un servidor francés ha
desaparecido, otras publicaciones online que se habían hecho eco del
caso, como silicon.fr, isecurelabs.com, rezo.net y uzine.net, también
han cedido retirando la información, ante la sombra de nuevas acciones
judiciales contra ellas por "falsas informaciones". Por su parte,
Guillaume está sufriendo continuas interferencias en su actividad
profesional, además del coste económico que le está suponiendo la
defensa y los viajes a París.

En nota de prensa con fecha 31 de marzo de 2004, Tegam International
critica de forma abierta a los participantes de foros, sitios web, y
publicaciones que se han hecho eco de la noticia del caso decantándose
a favor de Guillaume. Tegam afirma no estar en contra de los
investigadores de seguridad informática ni que pretenda afectar a la
libertad de expresión, si bien denuncia que está siendo víctima de
una campaña de otros desarrolladores de la competencia, que persiguen
"aplastarlos" como alternativa antivirus. Para finalizar la nota,
realiza una exaltación patriótica, afirmando que deben defenderse y
recurrir a la justicia para salvaguardar a la única empresa francesa
que desarrolla tecnología antivirus.

Adicionalmente, Tegam mantiene una nota pública, "Désinformation sur
ViGUARD", donde realiza alegaciones algo más técnicas sobre algunas de
las críticas realizadas sobre Viguard. En cualquier caso la mayoría
son matizaciones basándose en una versión de red (mientras que el
análisis de Guillaume se centra en la versión personal), incluyendo
quejas sobre lo hostiles que han sido algunas pruebas y minimizando
el riesgo que implican algunas de las vulnerabilidades publicadas y
ciertos tipos de virus.

Sobre este caso particular, y sobre el papel de las investigaciones
en materia de seguridad informática en general, la posición oficial
de Hispasec es y ha sido siempre:

* No existe solución antivirus 100% segura contra virus. Es fácilmente
demostrable en todos los productos, y Viguard no es una excepción.

* Si Tegam International anunció que su producto Viguard detectaba
el 100% de los virus conocidos y desconocidos, tal y como se puede
apreciar en la copia histórica de su web disponible en Internet,
la empresa desarrolladora emitió publicidad falsa.

* La investigación y publicación en materia de seguridad informática,
y en concreto la búsqueda activa de vulnerabilidades o el
desarrollo de ataques a modo de pruebas de concepto, son prácticas
necesarias y reconocidas por la industria, ya que favorecen la
corrección de debilidades y el desarrollo de soluciones más
robustas.

* La investigación sobre vulnerabilidades es una actividad ejercida,
entre otros, por organismos gubernamentales, universidades,
laboratorios, consultoras, grupos de seguridad, particulares, y
los propios desarrolladores de software de seguridad y antivirus.

* Los análisis independientes permiten a los usuarios obtener
información crítica y vital para su seguridad, no supeditada a los
intereses comerciales de los propios desarrolladores y
distribuidores.

Más información:

Copia de la página web de Tegam donde anuncia el 100% en detección
http://web.archive.org/web/20000511084028/http://www.tegam.fr/

Copia del análisis de Guillaume
http://web.archive.org/web/20030404161138/http://www.pipo.com/guillermito/viguard/index.html

Anuncios en prensa de Tegam International
http://www.guillermito2.net/archives/tegam_pcexpert_april2002.jpg
http://www.guillermito2.net/archives/tegam_pub_march_color.jpg

Désinformation sur ViGUARD
http://www.viguard.com/fr/news_view.php?num=88

Démenti de TEGAM International
http://www.viguard.com/fr/news_view.php?num=89

Versión del caso según Guillaume
http://www.guillermito2.net/archives/2004_03_25e.html

 

Fuente:
Hispasec.com



Otras noticias de interés:

La nube ( cloud computing), el servicio que revoluciona Internet
En el sector tecnológico, cada año que comienza, deja atrás tendencias y productos, pero también trae nuevas promesas de cambio y evolución. Así cómo en los primeros meses de 2009 se habló del año de las netbooks, que finalmente se transform...
De compras en el supermercado del malware
eWeek publica una entrevista con Raimund Genes, director de sistemas de Trend Micro, en el que desvela los distintos precios que se pueden llegar a pagar por exploits para vulnerabilidades que todavía no han salido a la luz. Como quien va a al s...
Guerra cibernética una amenaza cada vez menos virtual
El misterioso ataque informático del virus Stuxnet, que afectó a sistemas clave, como la industria en Irán, demuestra que la guerra cibernética es una posibilidad cada vez más real, que podría intervenir en un futuro conflicto armado, según an...
Sophos aconseja como proteger la información
Controlar el contenido saliente y entrante de la red, bloquear el acceso a los puertos web y escanear el tráfico, formar a los usuarios, cifrar la información y evitar el uso de dispositivos externos son los principales consejos que recomienda Soph...
México: Comisión Permanente rechaza ACTA
El pleno de la comisión permanente rechazó la firma del convenio ACTA por parte del gobierno federal, llevada a cabo el 11 de julio del presente año en Japón, ya que como se ha dicho en repetidas ocasiones, no se respetó lo dispuesto por la ley ...
Intypedia: Lección 12 - Seguridad en redes Wifi
La Enciclopedia de la Seguridad de la Información (Intypedia) ha publicado la Lección número 12 que lleva por título Seguridad en redes Wi-Fi....
Adobe corrige seis fallos en Flash
Por segunda vez en escasos días, Adobe Systems ha advertido a sus usuarios de la existencia de múltiples vulnerabilidades en uno de sus programas más populares, publicando una actualización de seguridad con el objeto de corregir dichos problemas....
Salto de restricciones de seguridad a través de .htacces en PHP 4.x y 5.x
Se ha descubierto una vulnerabilidad en PHP que podría ser aprovechada por un atacante para eludir ciertas restricciones de seguridad. ...
#Malware y los certificados digitales
Este año los certificados han estado en boca de todos. Comodo y DigiNotar han protagonizado algunos escándalos. Pero continúa el problema con los certificados, ahora en forma de malware, robos y factorización....
Marzo será el mes de los fallos en PHP
SecurityFocus publica una entrevista con Stefan Esser, fundador del proyecto Hardened-PHP e impulsor del PHP Security Response Team, que ha abandonado recientemente. Durante años ha contribuido al desarrollo de PHP y considera que el núcleo d...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • disclosure
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • juicio
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra