Un científico francés se enfrenta a una posible pena máxima de 2 años
de cárcel y multa de 150.000 euros, tras haber sido demandado por
descubrir y publicar varias debilidades en un software antivirus que
anunciaba detectar el 100% de virus conocidos y desconocidos. A la
espera del fallo por parte de la justicia francesa, el resultado
podría crear un importante precedente en este país sobre la
investigación independiente en materia de seguridad informática.
Guillaume T. desarrolla actualmente su trabajo en Boston como
investigador en biología molecular, tanto en el departamento de
Genética de la Universidad de Harvard como en el Hospital General de
Massachusetts. Como parte de sus aficiones, Guillaume, publica en su
página web personal, bajo el apodo de «Guillermito», algunos análisis
sobre vulnerabilidades que ha detectado en diversas soluciones de
seguridad. El seudónimo responde simplemente a un guiño a sus raíces,
ya que sus abuelos eran españoles y migraron a Francia antes del
comienzo de la Guerra Civil.
En octubre del pasado año Guillaume tuvo que regresar a Francia para
responder algunas cuestiones de L’Office Central de Lutte contre la
Criminalité liée aux Technologies de l’Information et de la
Communication (O.C.L.C.T.I.C.), grupo de la policía que se encarga
de los casos relacionados con las tecnologías de la información, y
que llevó a cabo algunas acciones preventivas como desactivar el
servidor web de «Guillermito».
El pasado mes de marzo, Guillaume se vio forzado de nuevo a volar a
París para acudir al Juzgado de Instrucción de la capital francesa,
atendiendo a la convocatoria de primera comparecencia sobre una
acusación de Tegam International por presunta «falsificación de
programas informáticos y ocultación de estos delitos», escudándose
para ello en varios artículos del código de la propiedad intelectual
y el código penal.
El origen de la acusación se encuentra en un análisis que Guillaume
publicó en su sitio web en marzo de 2002, en el cual documentaba
varias vulnerabilidades en Viguard, software antivirus de Tegam
International que anunciaba como 100% seguro contra virus conocidos
y desconocidos. En el artículo publicado, Guillaume analizaba algunos
posibles ataques contra Viguard, demostrando que no ofrecía la
protección que anunciaba, con varios ejemplos prácticos basados en
virus conocidos y otras pruebas de concepto diseñadas para la ocasión.
En un principio Tegam Internacional emprendió una agresiva campaña de
marketing, con anuncios en publicaciones donde literalmente llamaba
«terrorista informático» a «Guillermito». Acusación que cobra una
especial relevancia si tenemos en cuenta que apenas habían
transcurridos unos meses desde el 11 de septiembre. Posteriormente
emprendería las acciones judiciales anteriormente comentadas.
En estos momentos el caso se encuentra en periodo de instrucción,
bajo el estudio de la juez que está requiriendo a las partes sus
argumentaciones y pruebas. Aunque aún está por conocer la decisión
de la justicia, a priori parece que Tegam International está
obteniendo las primeras victorias colaterales de su estrategia.
El sitio web de Guilleme que hospedaba en un servidor francés ha
desaparecido, otras publicaciones online que se habían hecho eco del
caso, como silicon.fr, isecurelabs.com, rezo.net y uzine.net, también
han cedido retirando la información, ante la sombra de nuevas acciones
judiciales contra ellas por «falsas informaciones». Por su parte,
Guillaume está sufriendo continuas interferencias en su actividad
profesional, además del coste económico que le está suponiendo la
defensa y los viajes a París.
En nota de prensa con fecha 31 de marzo de 2004, Tegam International
critica de forma abierta a los participantes de foros, sitios web, y
publicaciones que se han hecho eco de la noticia del caso decantándose
a favor de Guillaume. Tegam afirma no estar en contra de los
investigadores de seguridad informática ni que pretenda afectar a la
libertad de expresión, si bien denuncia que está siendo víctima de
una campaña de otros desarrolladores de la competencia, que persiguen
«aplastarlos» como alternativa antivirus. Para finalizar la nota,
realiza una exaltación patriótica, afirmando que deben defenderse y
recurrir a la justicia para salvaguardar a la única empresa francesa
que desarrolla tecnología antivirus.
Adicionalmente, Tegam mantiene una nota pública, «Désinformation sur
ViGUARD», donde realiza alegaciones algo más técnicas sobre algunas de
las críticas realizadas sobre Viguard. En cualquier caso la mayoría
son matizaciones basándose en una versión de red (mientras que el
análisis de Guillaume se centra en la versión personal), incluyendo
quejas sobre lo hostiles que han sido algunas pruebas y minimizando
el riesgo que implican algunas de las vulnerabilidades publicadas y
ciertos tipos de virus.
Sobre este caso particular, y sobre el papel de las investigaciones
en materia de seguridad informática en general, la posición oficial
de Hispasec es y ha sido siempre:
* No existe solución antivirus 100% segura contra virus. Es fácilmente
demostrable en todos los productos, y Viguard no es una excepción.
* Si Tegam International anunció que su producto Viguard detectaba
el 100% de los virus conocidos y desconocidos, tal y como se puede
apreciar en la copia histórica de su web disponible en Internet,
la empresa desarrolladora emitió publicidad falsa.
* La investigación y publicación en materia de seguridad informática,
y en concreto la búsqueda activa de vulnerabilidades o el
desarrollo de ataques a modo de pruebas de concepto, son prácticas
necesarias y reconocidas por la industria, ya que favorecen la
corrección de debilidades y el desarrollo de soluciones más
robustas.
* La investigación sobre vulnerabilidades es una actividad ejercida,
entre otros, por organismos gubernamentales, universidades,
laboratorios, consultoras, grupos de seguridad, particulares, y
los propios desarrolladores de software de seguridad y antivirus.
* Los análisis independientes permiten a los usuarios obtener
información crítica y vital para su seguridad, no supeditada a los
intereses comerciales de los propios desarrolladores y
distribuidores.
Más información:
Copia de la página web de Tegam donde anuncia el 100% en detección
http://web.archive.org/web/20000511084028/http://www.tegam.fr/
Copia del análisis de Guillaume
http://web.archive.org/web/20030404161138/http://www.pipo.com/guillermito/viguard/index.html
Anuncios en prensa de Tegam International
http://www.guillermito2.net/archives/tegam_pcexpert_april2002.jpg
http://www.guillermito2.net/archives/tegam_pub_march_color.jpg
Désinformation sur ViGUARD
http://www.viguard.com/fr/news_view.php?num=88
Démenti de TEGAM International
http://www.viguard.com/fr/news_view.php?num=89
Versión del caso según Guillaume
http://www.guillermito2.net/archives/2004_03_25e.html
La trastienda del «full disclosure»
http://www.hispasec.com/unaaldia/1257
Deja una respuesta