Recientemente, EE.UU. ha aprobado una serie de leyes encaminadas a
declarar ilegales la publicación de estudios y análisis que demuestren
vulnerabilidades en sistemas hardware o software.
Las leyes, englobadas bajo el nombre común de DMCA (Digital Millennium
Copyright Act), pretender defender las industrias de contenidos (audio,
texto y vídeo) frente a la piratería, pero sus implicaciones son muy
amplias y peligrosas.
La DMCA convierte en ilegal la distribución de «circumvention
technology» (tecnología para burlar protecciones). Entendido en un
sentido amplio, algo que ya se está aplicando en EE.UU., un documento
científico describiendo una vulnerabilidad en una tecnología entraría
dentro de esta categoría y, por lo tanto, sería ilegal en los Estados
Unidos.
Publicar casi cualquier trabajo sobre seguridad, entonces, sería un acto
delictivo en ese país.
A este respecto me gustaría exponer una serie de conclusiones, a título
personal:
* Aunque publicar información sobre vulnerabilidades sea ilegal, la
información seguirá circulando libremente por el mundo «underground»,
donde el anonimato es ley. En cambio, los administradores de sistemas y
responsables de seguridad, siendo personas legales, no tendrán acceso a
esa información, que sí tendrán sus atacantes.
* El progreso técnico y científico se basa en el libre flujo de
información y en estudios independientes. Esto es especialmente cierto
en el campo de la criptología. Si los problemas de diseño o
implementación de un sistema criptográfico no se pudiesen hacer públicos
de forma legal, los usuarios tendrán sistemas débiles e inseguros.
Ya existen casos demostrables en los que una tecnología criptográfica,
una vez expuesta a expertos independientes, se ha demostrado insegura:
el cifrado GSM, la protección anticopia de los DVDs, el cifrado WEP de
las redes inalámbricas 802.11… Si dichas tecnologías se hubiesen hecho
públicas, el descubrimiento de sus vulnerabilidades se habría efectuado
antes de llegar al mercado.
¿Qué hubiera ocurrido si la publicación de las vulnerabilidades fuese
ilegal?. La vulnerabilidad seguiría existiendo, por supuesto, y sería
conocida dentro de determinados círculos. El público, no obstante,
pensaría que está utilizando tecnología segura y de calidad, estando a
merced de tiburones sin escrúpulos.
Adicionalmente, sin la publicidad de las vulnerabilidades, las empresas
no tendrían ningún aliciente para seguir innovando y dotar a los
sistemas, aunque sea tras infinidad de intentos fallidos, de verdadera
seguridad a toda prueba.
Los primeros resultados negativos ya se han empezado a ver:
* La versión 2.2.20 del kernel Linux, de reciente aparición, indica
expresamente en su fichero de «cambios» que se han solucionado varios
problemas de seguridad, pero que no se proporcionan detalles para no
violar la DMCA.
* Un ciudadano ruso, de nombre Dmitri Sklyarov, está pendiente de juicio
en EE.UU., al ser coautor de un programa utilizado para descifrar
ficheros PDF. El programa, elaborado y distribuido por una firma rusa,
se vende desde ese país. Dimitri está acusado de contravenir la DMCA,
aunque sea ciudadano extranjero y los actos de los que se le acusa se
realizasen fuera de los EE.UU.. Dimitri fue detenido por el FBI, tras
una denuncia de Adobe, al término de una jornadas de seguridad
desarrolladas en los Estados Unidos, a donde había viajado desde su país
natal. El trabajo de Sklyarov es perfectamente legal en Rusia y en la
mayoría de los países occidentales.
Si tienes más de un hijo, ¿puedes ir de vacaciones a China sin peligro
de ser encarcelado, al haber violado una ley local de ese país, mientras
estabas en el exterior y siendo ciudadano foráneo?. Probablemente en
China sí, pero no en los Estados Unidos, si se ven los precedentes.
* El profesor Edward Felten, de la universidad de Princeton, decidió no
publicar los fallos de seguridad que había descubierto en el reto SDMI
(Secure Digital Music Initiative), con los que probaba que era posible
eliminar las «marcas de agua» insertadas en una canción, destruyendo el
sistema anticopia puesto a prueba por la SDMI. A pesar de que el
objetivo del reto era demostrar si los sistemas propuestos eran seguros,
algo que Felten echó por tierra, publicar sus resultados sería ilegal.
En ese sentido, la industria discográfica seguía intentando aprobar un
esquema de protección musical demostradamente fallido, aunque las
pruebas de ello no fuesen públicas, y el autor de las mismas tuviese que
afrontar denuncias judiciales.
* Recientemente Niels Ferguson, criptógrafo holandés de reconocido
prestigio internacional, afirmó haber descubierto una vulnerabilidad en
el esquema de protección HDCP de Intel. HDCP es un sistema de cifrado
para el bus DVI, donde se conectan televisores, cámaras, reproductores
de DVD y similares. Según Ferguson, se puede obtener la clave maestra
del sistema en menos de dos semanas. Una vez obtenida dicha clave, se
pueden copiar o crear contenidos sin restricción, crear dispositivos
nuevos, etc.
Aunque Ferguson no publicó los detalles (aunque es holandés, podría ser
detenido en cualquiera de sus viajes a EE.UU.), poco después se
desvelaron todas las interioridades de forma abierta, a través de otra
vía: Scott A. Crosby, de la universidad Carnegie Mellon. Estudiándolas
detenidamente, se puede observar que la seguridad del sistema HDCP es
trivial.
Como se cita a Ferguson en el semanario Ciberpaís: «Si no investigamos,
nunca desarrollaremos buenos esquemas de protección anticopia. La DMCA
protege al fabricante de un mal producto en el sentido de que es ilegal
demostrar que es defectuoso». De hecho la DMCA contraviene sus propios
intereses, ya que sin poder investigar sistemas anticopia avanzados es
imposible desarrollar esquemas seguros.
El problema de la DMCA no son tanto sus objetivos sino los medios que
aborda para ello. La discusión de vulnerabilidades o la posesión de
sistemas capaces de saltarse protecciones no debe ser algo ilegal,
sencillamente porque existen multitud de usos legales para esa
tecnología e información.
Los cerrajeros, por ejemplo, necesitan disponer de sus herramientas de
forma legal. Las empresas de recuperación de datos necesitan
herramientas de escaneo de discos duros a bajo nivel para poder hacer su
trabajo.
Las herramientas y los conocimientos no deberían ser ilegales si tienen
usos beneficiosos. Lo que debe ser ilegal, y ya lo es en la mayor parte
de los países, es la copia, venta y distribución no autorizada de
material protegido con «copyright». Esa legislación ya existe y se
utiliza constantemente desde hace decenios. La DMCA, en su estado
actual, no tiene ningún sentido.
Prohibir difundir un documento porque su temática no nos es grata es
algo prohibido (salvo casos excepcionales) en la mayor parte del mundo
«civilizado», tratándose de un derecho garantizado con leyes que
promueven la libertad de expresión y la libertad de prensa. Es triste
comprobar como el país del mundo que se vanagloria de mayor libertad
tira por tierra su «Primera Enmienda» constitucional con una ley que ni
siquiera cumple sus objetivos declarados.
El reciente fallo judicial catalogando el código «DeCSS» como protegido
por la libertad de expresión, hecho del que nos hicimos eco en Hispasec
esta misma semana, abre una brecha legal para atacar la DMCA. Cuando el
juicio de Dmitri Sklyarov empiece (Dmitri está actualmente en libertad
provisional y tiene prohibido abandonar EE.UU., aunque es ruso y reside
en Rusia) no sería sorprendente que la DMCA fuese declarada
anticonstitucional.
Mientras tanto, seguiré teniendo mucho cuidado con lo que digo, aunque
sea español y no tenga pensado viajar a EE.UU. en un futuro próximo…
Recomiendo a todos los lectores de «Una-Al-Día» que echen un detenido
vistazo a los enlaces que siguen.
jcea@hispasec.com
Más información:
Electronic Frontier Foundation
http://www.eff.org/
Linux security self-censorship ominous
http://www.newsforge.com/article.pl?sid=01/11/08/0125207
Linux security self-censorship ominous
http://www.theregister.co.uk/content/4/22712.html
The Case For Full Disclosure In The Linux Changelog
http://slashdot.org/article.pl?sid=01/11/11/1424212
Keep Security Censorship Away From Linux
http://www.securityfocus.com/columnists/35
Linux Update withholds Security Details
http://www.securityfocus.com/news/274
Security in an Open Electronic Society
http://www.securityfocus.com/news/270
Welcome to the Anti-DMCA Website
http://www.anti-dmca.org/
Apparent HDCP authentication protocol weaknesses
http://cryptome.org/hdcp-weakness.htm
Video crypto standard cracked?
http://www.securityfocus.com/news/236
Un criptólogo rompe la protección anticopia del sistema de vídeo de
Intel
http://www.ciberpais.elpais.es/d/20010823/cibersoc/soc4.htm
Dutch Cryptographer Cries Foul
http://www.wired.com/news/politics/0,1283,46091,00.html
Niels Ferguson’s home page
http://www.macfergus.com/niels/
Censorship in action: Silenced by the DMCA
http://www.macfergus.com/niels/dmca/index.html
Los problemas para la ciencia de las leyes contra la rotura de
protecciones
http://barrapunto.com/article.pl?sid=01/09/23/1637253&mode=thread&threshold=
Anticircumvention Rules: Threat to Science
http://www.sciencemag.org/cgi/content/full/293/5537/2028
RIAA/SDMI Letter, April 9, 2001
http://www.cs.princeton.edu/sip/sdmi/riaaletter.html
Deja una respuesta