miércoles, 29 de diciembre de 2004

El jucio Tegam vs. Guillermito se celebrará el 4 de enero de 2005

Tras el aplazamiento de última hora, el juicio que enfrenta a la
empresa Tegam contra el científico francés Guillaume T. se celebrará
el próximo 4 de enero en Tribunal de Grande Instance de Paris. En
juego la criminalización del full-disclosure y, por ende, de la
seguridad informática.

Como nuestros lectores recordarán, puesto que en Hispasec venimos
realizando un seguimiento del caso, Tegam sigue un proceso judicial
contra el científico francés Guillaume T., apodado "Guillermito", por
publicar un informe técnico con detalles y pruebas de concepto que
demostraba que el software antivirus Viguard no detectaba el 100% de
los virus, tal y como anunciaba la empresa desarrolladora.

Transcurridos más de dos años desde la denuncia, el juicio debería
haberse celebrado el pasado 5 de octubre. En una jugada de última
hora, Tegam solicitó un aplazamiento del juicio para preparar con
más tiempo el mismo, al que Guillaume T. y sus abogados accedieron.

Entre las hipótesis que se barajaron para este aplazamiento destacaba
la expectación que había alcanzado el juicio, que se celebraría de
forma pública, y al que ya habían anunciado su asistencia periodistas
y personas interesadas del mundillo de la seguridad informática.

Finalmente el juicio, al que estamos todos invitados, se celebrará
el próximo 4 de enero en París. Más indicaciones para llegar a la
sala del juicio en la siguiente dirección
http://www.u-blog.net/eolas/note/115

En una de sus recientes notas, Guillaume T. comentaba, no sin cierta
ironía, como había recibido en los últimos días varias consultas
sobre sus investigaciones y vulnerabilidades que había descubierto
en diverso software de esteganografía, que publicó de forma similar
al caso del antivirus Viguard de Tegam.

Lo curioso, decía Guillaume, es que las consultas provenían de algunas
de las empresas financiadas con medio millón de dólares por el
Ministerio de Justicia de EE.UU., donde van a crear un Centro de
Análisis e Investigación en Esteganografía con la excusa del
terrorismo. Aunque poco tiene que ver, como bien afirma Guillaume
"no hay nada como el miedo para abrir la cartera de consumidores y
ministerios".

El caso es que mientras que en EE.UU. las investigaciones de
Guillaume T. son apreciadas para proyectos gubernamentales,
teóricamente para luchar contra el terrorismo, en Francia han servido
para llevarlo a un juicio donde Tegam ha llegado a tachar a Guillaume
de terrorista.

Recordemos que en un principio Tegam Internacional emprendió una
agresiva campaña de marketing, con anuncios en publicaciones donde
literalmente llamaba "terrorista informático" a "Guillermito".
Acusación que cobra una especial relevancia si tenemos en cuenta que
apenas habían transcurridos unos meses desde el 11 de septiembre.
Posteriormente emprendería acciones judiciales contra Guillaume T.
por presunta "falsificación de programas informáticos y ocultación
de estos delitos", escudándose para ello en varios artículos del
código de la propiedad intelectual y el código penal.

El juez de instrucción designó a un experto informático para analizar
los argumentos y pruebas técnicas del caso, que ha concluido en su
informe:

- que Guillaume T. desensambló, utilizó y publicó elementos y detalles
del programa informático Viguard, que excedían las modificaciones que
un simple usuario puede realizar con fines de compatibilidad para una
utilización personal, permitiendo burlar las protecciones que
anunciaba el producto.

- que Guillaume T. dispone de competencias incuestionables en materia
de virus y antivirus, y que las vulnerabilidades en Viguard
denunciadas en el informe de Guillaume son pertinentes.

Basándose en el informe del experto informático, el juez de instrucción
desestimó la mitad de los cargos contra Guillaume, en concreto los
relacionados con la "ocultación de delitos". Si bien se debía celebrar
un juicio atendiendo a los cargos de "falsificación", que el juez
estimaba pertinentes al poder atentar contra los derechos de propiedad
intelectual de Tegam Internacional por publicar detalles del código de
Viguard sin su autorización.

En definitiva, Guillaume T. tenía razón cuando denunció las
vulnerabilidades en el producto de Viguard, demostrando que la
publicidad emitida por Tegam Internacional era falsa. Sin embargo,
el método empleado por Guillaume, que básicamente consistió en publicar
un informe técnico y ejemplos reales a modo de pruebas de concepto, son
motivo para, al menos, llevarlo a juicio.

Sin duda nos encontramos ante un juicio cuyo fallo puede marcar un
antes y un después en la investigación y publicación de
vulnerabilidades. Si Guillaume T. es condenado, se creará un precedente
en Francia que criminaliza el full disclosure (divulgación total en
materia de seguridad informática).

Nos encontraríamos en un callejón sin salida, que afectaría de lleno a
la propia seguridad informática. Si denuncias una vulnerabilidad sin
pruebas puedes ser llevado a juicio por difamación, si por el
contrario realizas un análisis técnico y publicas pruebas de concepto
te podrían acusar de falsificación.

Los derechos de unos terminan donde comienzan los de los demás, y en
este caso Tegam Internacional no debe poder escudarse en la propiedad
intelectual para tapar una publicidad falsa y esconder fallos en su
software. En juego no anda sólo la posible condena a Guillaume, sino
la seguridad de los usuarios, que no debe quedar supeditada a los
intereses comerciales de los propios desarrolladores y distribuidores.
¿Qué garantías y defensa tendrían los usuarios sin la existencia de
investigaciones independientes?


Bernardo Quintero
bernardo@hispasec.com


Más información:

27/09/2004 Se aplaza el juicio Tegam vs. "Guillermito"
http://www.hispasec.com/unaaldia/2165

16/09/2004 Tegam vs. Guillermito, segundo asalto
http://www.hispasec.com/unaaldia/2154

20/05/2004 Juicio contra la seguridad informática y el "full disclosure"
http://www.hispasec.com/unaaldia/2034