Juicio contra la seguridad informática y el
"full disclosure"
Un científico francés se enfrenta
a una posible pena máxima de 2 años de cárcel y multa de
150.000 euros, tras haber sido demandado por descubrir y
publicar varias debilidades en un software antivirus que
anunciaba detectar el 100% de virus conocidos y desconocidos.
A la espera del fallo por parte de la justicia francesa, el
resultado podría crear un importante precedente en este país
sobre la investigación independiente en materia de seguridad
informática.
Guillaume T. desarrolla actualmente
su trabajo en Boston como investigador en biología molecular,
tanto en el departamento de Genética de la Universidad de
Harvard como en el Hospital General de Massachusetts. Como
parte de sus aficiones, Guillaume, publica en su página web
personal, bajo el apodo de "Guillermito", algunos análisis
sobre vulnerabilidades que ha detectado en diversas soluciones
de seguridad. El seudónimo responde simplemente a un guiño a
sus raíces, ya que sus abuelos eran españoles y migraron a
Francia antes del comienzo de la Guerra Civil.
En
octubre del pasado año Guillaume tuvo que regresar a Francia
para responder algunas cuestiones de L'Office Central de Lutte
contre la Criminalité liée aux Technologies de l'Information
et de la Communication (O.C.L.C.T.I.C.), grupo de la policía
que se encarga de los casos relacionados con las tecnologías
de la información, y que llevó a cabo algunas acciones
preventivas como desactivar el servidor web de
"Guillermito".
El pasado mes de marzo, Guillaume
se vio forzado de nuevo a volar a París para acudir al Juzgado
de Instrucción de la capital francesa, atendiendo a la
convocatoria de primera comparecencia sobre una acusación de
Tegam International por presunta "falsificación de programas
informáticos y ocultación de estos delitos", escudándose para
ello en varios artículos del código de la propiedad
intelectual y el código penal.
El origen de la
acusación se encuentra en un análisis que Guillaume publicó en
su sitio web en marzo de 2002, en el cual documentaba varias
vulnerabilidades en Viguard, software antivirus de Tegam
International que anunciaba como 100% seguro contra virus
conocidos y desconocidos. En el artículo publicado, Guillaume
analizaba algunos posibles ataques contra Viguard, demostrando
que no ofrecía la protección que anunciaba, con varios
ejemplos prácticos basados en virus conocidos y otras pruebas
de concepto diseñadas para la ocasión.
En un
principio Tegam Internacional emprendió una agresiva campaña
de marketing, con anuncios en publicaciones donde literalmente
llamaba "terrorista informático" a "Guillermito". Acusación
que cobra una especial relevancia si tenemos en cuenta que
apenas habían transcurridos unos meses desde el 11 de
septiembre. Posteriormente emprendería las acciones judiciales
anteriormente comentadas.
En estos momentos el
caso se encuentra en periodo de instrucción, bajo el estudio
de la juez que está requiriendo a las partes sus
argumentaciones y pruebas. Aunque aún está por conocer la
decisión de la justicia, a priori parece que Tegam
International está obteniendo las primeras victorias
colaterales de su estrategia.
El sitio web de
Guilleme que hospedaba en un servidor francés ha desaparecido,
otras publicaciones online que se habían hecho eco del caso,
como silicon.fr, isecurelabs.com, rezo.net y uzine.net,
también han cedido retirando la información, ante la sombra de
nuevas acciones judiciales contra ellas por "falsas
informaciones". Por su parte, Guillaume está sufriendo
continuas interferencias en su actividad profesional, además
del coste económico que le está suponiendo la defensa y los
viajes a París.
En nota de prensa con fecha 31 de
marzo de 2004, Tegam International critica de forma abierta a
los participantes de foros, sitios web, y publicaciones que se
han hecho eco de la noticia del caso decantándose a favor de
Guillaume. Tegam afirma no estar en contra de los
investigadores de seguridad informática ni que pretenda
afectar a la libertad de expresión, si bien denuncia que está
siendo víctima de una campaña de otros desarrolladores de la
competencia, que persiguen "aplastarlos" como alternativa
antivirus. Para finalizar la nota, realiza una exaltación
patriótica, afirmando que deben defenderse y recurrir a la
justicia para salvaguardar a la única empresa francesa que
desarrolla tecnología antivirus.
Adicionalmente,
Tegam mantiene una nota pública, "Désinformation sur ViGUARD",
donde realiza alegaciones algo más técnicas sobre algunas de
las críticas realizadas sobre Viguard. En cualquier caso la
mayoría son matizaciones basándose en una versión de red
(mientras que el análisis de Guillaume se centra en la versión
personal), incluyendo quejas sobre lo hostiles que han sido
algunas pruebas y minimizando el riesgo que implican algunas
de las vulnerabilidades publicadas y ciertos tipos de
virus.
Sobre este caso particular, y sobre el
papel de las investigaciones en materia de seguridad
informática en general, la posición oficial de Hispasec es y
ha sido siempre:
* No existe solución antivirus
100% segura contra virus. Es fácilmente demostrable en todos
los productos, y Viguard no es una excepción.
*
Si Tegam International anunció que su producto Viguard
detectaba el 100% de los virus conocidos y desconocidos, tal y
como se puede apreciar en la copia histórica de su web
disponible en Internet, la empresa desarrolladora emitió
publicidad falsa.
* La investigación y
publicación en materia de seguridad informática, y en concreto
la búsqueda activa de vulnerabilidades o el desarrollo de
ataques a modo de pruebas de concepto, son prácticas
necesarias y reconocidas por la industria, ya que favorecen la
corrección de debilidades y el desarrollo de soluciones más
robustas.
* La investigación sobre vulnerabilidades es
una actividad ejercida, entre otros, por organismos
gubernamentales, universidades, laboratorios, consultoras,
grupos de seguridad, particulares, y los propios
desarrolladores de software de seguridad y
antivirus.
* Los análisis independientes permiten
a los usuarios obtener información crítica y vital para su
seguridad, no supeditada a los intereses comerciales de los
propios desarrolladores y
distribuidores.
