Juicio contra la seguridad informática y el “full disclosure”
Un científico podría ser encarcelado por revelar vulnerabilidades de un producto antivirus.
Un científico francés se enfrenta a una posible pena máxima de dos años de cárcel y multa de 150.000 euros, tras haber sido demandado por descubrir y publicar varias debilidades en un software antivirus que anunciaba detectar el 100 por ciento de virus conocidos y desconocidos. A la espera del fallo por parte de la justicia francesa, el resultado podría crear un importante precedente en este país sobre la investigación independiente en materia de seguridad informática.
Guillaume T. desarrolla actualmente su trabajo en Boston como investigador en biología molecular, tanto en el departamento de Genética de la Universidad de Harvard como en el Hospital General de Massachusetts. Como parte de sus aficiones, Guillaume, publica en su página web personal, bajo el apodo de “Guillermito”, algunos análisis sobre vulnerabilidades que ha detectado en diversas soluciones de seguridad. El seudónimo responde simplemente a un guiño a sus raíces, ya que sus abuelos eran españoles y migraron a Francia antes del comienzo de la Guerra Civil.
En octubre del pasado año Guillaume tuvo que regresar a Francia para responder algunas cuestiones de L’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (O.C.L.C.T.I.C.), grupo de la policía que se encarga de los casos relacionados con las tecnologías de la información, y que llevó a cabo algunas acciones preventivas como desactivar el servidor web de “Guillermito”.
El pasado mes de marzo, Guillaume se vio forzado de nuevo a volar a París para acudir al Juzgado de Instrucción de la capital francesa, atendiendo a la convocatoria de primera comparecencia sobre una acusación de Tegam International por presunta “falsificación de programas informáticos y ocultación de estos delitos”, escudándose para ello en varios artículos del código de la propiedad intelectual y el código penal.
El origen de la acusación se encuentra en un análisis que Guillaume publicó en su sitio web en marzo de 2002, en el cual documentaba varias vulnerabilidades en Viguard, software antivirus de Tegam International que anunciaba como 100 por ciento seguro contra virus conocidos y desconocidos. En el artículo publicado, Guillaume analizaba algunos posibles ataques contra Viguard, demostrando que no ofrecía la protección que anunciaba, con varios ejemplos prácticos basados en virus conocidos y otras pruebas de concepto diseñadas para la ocasión.
En un principio Tegam Internacional emprendió una agresiva campaña de marketing, con anuncios en publicaciones donde literalmente llamaba “terrorista informático” a “Guillermito”. Acusación que cobra una especial relevancia si tenemos en cuenta que apenas habían transcurridos unos meses desde el 11 de septiembre. Posteriormente emprendería las acciones judiciales anteriormente comentadas.
En estos momentos el caso se encuentra en periodo de instrucción, bajo el estudio de la juez que está requiriendo a las partes sus argumentaciones y pruebas. Aunque aún está por conocer la decisión de la justicia, a priori parece que Tegam International está obteniendo las primeras victorias colaterales de su estrategia.
El sitio web de Guilleme que hospedaba en un servidor francés ha desaparecido, otras publicaciones online que se habían hecho eco del caso, como silicon.fr, isecurelabs.com, rezo.net y uzine.net, también han cedido retirando la información, ante la sombra de nuevas acciones judiciales contra ellas por “falsas informaciones”. Por su parte, Guillaume está sufriendo continuas interferencias en su actividad profesional, además del coste económico que le está suponiendo la defensa y los viajes a París.
En nota de prensa con fecha 31 de marzo de 2004, Tegam International critica de forma abierta a los participantes de foros, sitios web, y publicaciones que se han hecho eco de la noticia del caso decantándose a favor de Guillaume. Tegam afirma no estar en contra de los investigadores de seguridad informática ni que pretenda afectar a la libertad de expresión, si bien denuncia que está siendo víctima de una campaña de otros desarrolladores de la competencia, que persiguen “aplastarlos” como alternativa antivirus. Para finalizar la nota, realiza una exaltación patriótica, afirmando que deben defenderse y recurrir a la justicia para salvaguardar a la única empresa francesa que desarrolla tecnología antivirus.
Adicionalmente, Tegam mantiene una nota pública, “Désinformation sur ViGUARD”, donde realiza alegaciones algo más técnicas sobre algunas de las críticas realizadas sobre Viguard. En cualquier caso la mayoría son matizaciones basándose en una versión de red (mientras que el análisis de Guillaume se centra en la versión personal), incluyendo quejas sobre lo hostiles que han sido algunas pruebas y minimizando el riesgo que implican algunas de las vulnerabilidades publicadas y ciertos tipos de virus.
Concluyendo
Sobre este caso particular, y sobre el papel de las investigaciones en materia de seguridad informática en general, la posición oficial de Hispasec es y ha sido siempre:
– No existe solución antivirus 100 por ciento segura contra virus. Es fácilmente demostrable en todos los productos, y Viguard no es una excepción.
– Si Tegam International anunció que su producto Viguard detectaba el 100 por ciento de los virus conocidos y desconocidos, tal y como se puede apreciar en la copia histórica de su web disponible en Internet, la empresa desarrolladora emitió publicidad falsa.
– La investigación y publicación en materia de seguridad informática, y en concreto la búsqueda activa de vulnerabilidades o el desarrollo de ataques a modo de pruebas de concepto, son prácticas necesarias y reconocidas por la industria, ya que favorecen la corrección de debilidades y el desarrollo de soluciones más robustas.
– La investigación sobre vulnerabilidades es una actividad ejercida, entre otros, por organismos gubernamentales, universidades, laboratorios, consultoras, grupos de seguridad, particulares, y los propios desarrolladores de software de seguridad y antivirus.
– Los análisis independientes permiten a los usuarios obtener información crítica y vital para su seguridad, no supeditada a los intereses comerciales de los propios desarrolladores y distribuidores.