El próximo 5 de octubre se celebrará en París el juicio contra el científico francés Guillaume T., conocido como “Guillermito”, por hacer públicas varias vulnerabilidades en un software antivirus de la empresa Tegam Internacional, que anunciaba detectar el 100% de los virus conocidos y desconocidos.
El origen de la acusación se encuentra en un análisis que Guillaume publicó en su sitio web en marzo de 2002, en el cual documentaba varias vulnerabilidades en Viguard, software antivirus de Tegam International que anunciaba como 100 por ciento seguro contra virus conocidos y desconocidos. En el artículo publicado, Guillaume analizaba algunos posibles ataques contra Viguard, demostrando que no ofrecía la protección que anunciaba, con varios ejemplos prácticos basados en virus conocidos y otras pruebas de concepto diseñadas para la ocasión.
En un principio Tegam Internacional emprendió una agresiva campaña de marketing, con anuncios en publicaciones donde literalmente llamaba “terrorista informático” a “Guillermito”. Acusación que cobra una especial relevancia si tenemos en cuenta que apenas habían transcurridos unos meses desde el 11 de septiembre. Posteriormente emprendería acciones judiciales contra Guillaume T. por presunta “falsificación de programas informáticos y ocultación de estos delitos”, escudándose para ello en varios artículos del código de la propiedad intelectual y el código penal.
Más detalles sobre los preliminares del caso pueden ser consultados en el la noticia “Juicio contra la seguridad informática y el full disclosure” (http://www.hispasec.com/unaaldia/2034).
El juez de instrucción designó a un experto informático para analizar los argumentos y pruebas técnicas del caso, que ha concluido en su informe:
-que Guillaume T. desensambló, utilizó y publicó elementos y detalles del programa informático Viguard, que excedían las modificaciones que un simple usuario puede realizar con fines de compatibilidad para una utilización personal, permitiendo burlar las protecciones que anunciaba el producto.
-que Guillaume T. dispone de competencias incuestionables en materia de virus y antivirus, y que las vulnerabilidades en Viguard denunciadas en el informe de Guillaume son pertinentes.
Basándose en el informe del experto informático, el juez de instrucción ha desestimado la mitad de los cargos contra Guillaume, en concreto los relacionados con la “ocultación de delitos”. Si bien se deberá celebrar un juicio atendiendo a los cargos de “falsificación”, que el juez estima pertinentes al poder atentar contra los derechos de propiedad intelectual de Tegam Internacional por publicar detalles del código de Viguard sin su autorización.
En definitiva, Guillaume T. tenía razón cuando denunció las vulnerabilidades en el producto de Viguard, demostrando que la publicidad emitida por Tegam Internacional era falsa. Sin embargo, el método empleado por Guillaume, que básicamente consistió en publicar un informe técnico y ejemplos reales a modo de pruebas de concepto, son motivo para, al menos, llevarlo a juicio.
Sin duda nos encontramos ante un juicio cuyo fallo puede marcar un antes y un después en la investigación y publicación de vulnerabilidades. Si Guillaume T. es condenado, se creará un precedente en Francia que criminaliza el full disclosure (divulgación total en
materia de seguridad informática).
Nos encontraríamos en un callejón sin salida, que afectaría de lleno a la propia seguridad informática. Si denuncias una vulnerabilidad sin pruebas puedes ser llevado a juicio por difamación, si por el contrario realizas un análisis técnico y publicas pruebas de concepto te podrían acusar de falsificación.
Los derechos de unos terminan donde comienzan los de los demás, y en este caso Tegam Internacional no debe poder escudarse en la propiedad intelectual para tapar una publicidad falsa y esconder fallos en su software. En juego no anda sólo la posible condena a Guillaume, sino la seguridad de los usuarios, que no debe quedar supeditada a los intereses comerciales de los propios desarrolladores y distribuidores. ¿Qué garantías y defensa tendrían los usuarios sin la existencia de investigaciones independientes?
Todos los interesados quedan invitados al juicio público que tendrá lugar el próximo 5 de octubre de 2004, a las 13:30h, en la 31 Sala /1, Tribunal de Grande Instance de Paris, 4 Boulevard du Palais, 75100 Paris RP SP.
Dell pretende que "las organizaciones puedan utilizar continuamente los últimos avances de IA en el…
Introduce cinco nuevas soluciones HPE Cray con arquitectura de refrigeración líquida directa y dos servidores…
Las entradas para acudir a este parque temático que defiende un turismo sostenible saldrán a…
Amplía la disponibilidad de actualizaciones y parches críticos para ambos sistemas operativo hasta agosto de…
Con esta actualización acelera las cargas de trabajo de Kubernetes para máquinas virtuales, bases de…
Su cometido pasa por consolidar y ampliar el ecosistema industrial en España y Portugal.