• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Legislación norteamericana contra los análisis de seguridad

Legislación norteamericana contra los análisis de seguridad

14 noviembre, 2001 Por Hispasec Deja un comentario

Recientemente, EE.UU. ha aprobado una serie de leyes encaminadas a
declarar ilegales la publicación de estudios y análisis que demuestren
vulnerabilidades en sistemas hardware o software.
Las leyes, englobadas bajo el nombre común de DMCA (Digital Millennium
Copyright Act), pretender defender las industrias de contenidos (audio,
texto y vídeo) frente a la piratería, pero sus implicaciones son muy
amplias y peligrosas.

La DMCA convierte en ilegal la distribución de «circumvention
technology» (tecnología para burlar protecciones). Entendido en un
sentido amplio, algo que ya se está aplicando en EE.UU., un documento
científico describiendo una vulnerabilidad en una tecnología entraría
dentro de esta categoría y, por lo tanto, sería ilegal en los Estados
Unidos.

Publicar casi cualquier trabajo sobre seguridad, entonces, sería un acto
delictivo en ese país.

A este respecto me gustaría exponer una serie de conclusiones, a título
personal:

* Aunque publicar información sobre vulnerabilidades sea ilegal, la
información seguirá circulando libremente por el mundo «underground»,
donde el anonimato es ley. En cambio, los administradores de sistemas y
responsables de seguridad, siendo personas legales, no tendrán acceso a
esa información, que sí tendrán sus atacantes.

* El progreso técnico y científico se basa en el libre flujo de
información y en estudios independientes. Esto es especialmente cierto
en el campo de la criptología. Si los problemas de diseño o
implementación de un sistema criptográfico no se pudiesen hacer públicos
de forma legal, los usuarios tendrán sistemas débiles e inseguros.

Ya existen casos demostrables en los que una tecnología criptográfica,
una vez expuesta a expertos independientes, se ha demostrado insegura:
el cifrado GSM, la protección anticopia de los DVDs, el cifrado WEP de
las redes inalámbricas 802.11… Si dichas tecnologías se hubiesen hecho
públicas, el descubrimiento de sus vulnerabilidades se habría efectuado
antes de llegar al mercado.

¿Qué hubiera ocurrido si la publicación de las vulnerabilidades fuese
ilegal?. La vulnerabilidad seguiría existiendo, por supuesto, y sería
conocida dentro de determinados círculos. El público, no obstante,
pensaría que está utilizando tecnología segura y de calidad, estando a
merced de tiburones sin escrúpulos.

Adicionalmente, sin la publicidad de las vulnerabilidades, las empresas
no tendrían ningún aliciente para seguir innovando y dotar a los
sistemas, aunque sea tras infinidad de intentos fallidos, de verdadera
seguridad a toda prueba.

Los primeros resultados negativos ya se han empezado a ver:

* La versión 2.2.20 del kernel Linux, de reciente aparición, indica
expresamente en su fichero de «cambios» que se han solucionado varios
problemas de seguridad, pero que no se proporcionan detalles para no
violar la DMCA.

* Un ciudadano ruso, de nombre Dmitri Sklyarov, está pendiente de juicio
en EE.UU., al ser coautor de un programa utilizado para descifrar
ficheros PDF. El programa, elaborado y distribuido por una firma rusa,
se vende desde ese país. Dimitri está acusado de contravenir la DMCA,
aunque sea ciudadano extranjero y los actos de los que se le acusa se
realizasen fuera de los EE.UU.. Dimitri fue detenido por el FBI, tras
una denuncia de Adobe, al término de una jornadas de seguridad
desarrolladas en los Estados Unidos, a donde había viajado desde su país
natal. El trabajo de Sklyarov es perfectamente legal en Rusia y en la
mayoría de los países occidentales.

Si tienes más de un hijo, ¿puedes ir de vacaciones a China sin peligro
de ser encarcelado, al haber violado una ley local de ese país, mientras
estabas en el exterior y siendo ciudadano foráneo?. Probablemente en
China sí, pero no en los Estados Unidos, si se ven los precedentes.

* El profesor Edward Felten, de la universidad de Princeton, decidió no
publicar los fallos de seguridad que había descubierto en el reto SDMI
(Secure Digital Music Initiative), con los que probaba que era posible
eliminar las «marcas de agua» insertadas en una canción, destruyendo el
sistema anticopia puesto a prueba por la SDMI. A pesar de que el
objetivo del reto era demostrar si los sistemas propuestos eran seguros,
algo que Felten echó por tierra, publicar sus resultados sería ilegal.
En ese sentido, la industria discográfica seguía intentando aprobar un
esquema de protección musical demostradamente fallido, aunque las
pruebas de ello no fuesen públicas, y el autor de las mismas tuviese que
afrontar denuncias judiciales.

* Recientemente Niels Ferguson, criptógrafo holandés de reconocido
prestigio internacional, afirmó haber descubierto una vulnerabilidad en
el esquema de protección HDCP de Intel. HDCP es un sistema de cifrado
para el bus DVI, donde se conectan televisores, cámaras, reproductores
de DVD y similares. Según Ferguson, se puede obtener la clave maestra
del sistema en menos de dos semanas. Una vez obtenida dicha clave, se
pueden copiar o crear contenidos sin restricción, crear dispositivos
nuevos, etc.

Aunque Ferguson no publicó los detalles (aunque es holandés, podría ser
detenido en cualquiera de sus viajes a EE.UU.), poco después se
desvelaron todas las interioridades de forma abierta, a través de otra
vía: Scott A. Crosby, de la universidad Carnegie Mellon. Estudiándolas
detenidamente, se puede observar que la seguridad del sistema HDCP es
trivial.

Como se cita a Ferguson en el semanario Ciberpaís: «Si no investigamos,
nunca desarrollaremos buenos esquemas de protección anticopia. La DMCA
protege al fabricante de un mal producto en el sentido de que es ilegal
demostrar que es defectuoso». De hecho la DMCA contraviene sus propios
intereses, ya que sin poder investigar sistemas anticopia avanzados es
imposible desarrollar esquemas seguros.

El problema de la DMCA no son tanto sus objetivos sino los medios que
aborda para ello. La discusión de vulnerabilidades o la posesión de
sistemas capaces de saltarse protecciones no debe ser algo ilegal,
sencillamente porque existen multitud de usos legales para esa
tecnología e información.

Los cerrajeros, por ejemplo, necesitan disponer de sus herramientas de
forma legal. Las empresas de recuperación de datos necesitan
herramientas de escaneo de discos duros a bajo nivel para poder hacer su
trabajo.

Las herramientas y los conocimientos no deberían ser ilegales si tienen
usos beneficiosos. Lo que debe ser ilegal, y ya lo es en la mayor parte
de los países, es la copia, venta y distribución no autorizada de
material protegido con «copyright». Esa legislación ya existe y se
utiliza constantemente desde hace decenios. La DMCA, en su estado
actual, no tiene ningún sentido.

Prohibir difundir un documento porque su temática no nos es grata es
algo prohibido (salvo casos excepcionales) en la mayor parte del mundo
«civilizado», tratándose de un derecho garantizado con leyes que
promueven la libertad de expresión y la libertad de prensa. Es triste
comprobar como el país del mundo que se vanagloria de mayor libertad
tira por tierra su «Primera Enmienda» constitucional con una ley que ni
siquiera cumple sus objetivos declarados.

El reciente fallo judicial catalogando el código «DeCSS» como protegido
por la libertad de expresión, hecho del que nos hicimos eco en Hispasec
esta misma semana, abre una brecha legal para atacar la DMCA. Cuando el
juicio de Dmitri Sklyarov empiece (Dmitri está actualmente en libertad
provisional y tiene prohibido abandonar EE.UU., aunque es ruso y reside
en Rusia) no sería sorprendente que la DMCA fuese declarada
anticonstitucional.

Mientras tanto, seguiré teniendo mucho cuidado con lo que digo, aunque
sea español y no tenga pensado viajar a EE.UU. en un futuro próximo…

Recomiendo a todos los lectores de «Una-Al-Día» que echen un detenido
vistazo a los enlaces que siguen.

Jesús Cea Avión
jcea@hispasec.com

Más información:

Electronic Frontier Foundation
http://www.eff.org/

Linux security self-censorship ominous
http://www.newsforge.com/article.pl?sid=01/11/08/0125207

Linux security self-censorship ominous
http://www.theregister.co.uk/content/4/22712.html

The Case For Full Disclosure In The Linux Changelog
http://slashdot.org/article.pl?sid=01/11/11/1424212

Keep Security Censorship Away From Linux
http://www.securityfocus.com/columnists/35

Linux Update withholds Security Details
http://www.securityfocus.com/news/274

Security in an Open Electronic Society
http://www.securityfocus.com/news/270

Welcome to the Anti-DMCA Website
http://www.anti-dmca.org/

Apparent HDCP authentication protocol weaknesses
http://cryptome.org/hdcp-weakness.htm

Video crypto standard cracked?
http://www.securityfocus.com/news/236

Un criptólogo rompe la protección anticopia del sistema de vídeo de
Intel
http://www.ciberpais.elpais.es/d/20010823/cibersoc/soc4.htm

Dutch Cryptographer Cries Foul
http://www.wired.com/news/politics/0,1283,46091,00.html

Niels Ferguson’s home page
http://www.macfergus.com/niels/

Censorship in action: Silenced by the DMCA
http://www.macfergus.com/niels/dmca/index.html

Los problemas para la ciencia de las leyes contra la rotura de
protecciones
http://barrapunto.com/article.pl?sid=01/09/23/1637253&mode=thread&threshold=

Anticircumvention Rules: Threat to Science
http://www.sciencemag.org/cgi/content/full/293/5537/2028

RIAA/SDMI Letter, April 9, 2001
http://www.cs.princeton.edu/sip/sdmi/riaaletter.html

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • USB Killer, el enchufable que puede freir tu equipo

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR