El próximo 5 de octubre se celebrará en París el juicio contra el
científico francés Guillaume T., conocido como «Guillermito», por
hacer públicas varias vulnerabilidades en un software antivirus de la
empresa Tegam Internacional, que anunciaba detectar el 100% de los
virus conocidos y desconocidos.
El origen de la acusación se encuentra en un análisis que Guillaume
publicó en su sitio web en marzo de 2002, en el cual documentaba
varias vulnerabilidades en Viguard, software antivirus de Tegam
International que anunciaba como 100% seguro contra virus conocidos
y desconocidos. En el artículo publicado, Guillaume analizaba algunos
posibles ataques contra Viguard, demostrando que no ofrecía la
protección que anunciaba, con varios ejemplos prácticos basados en
virus conocidos y otras pruebas de concepto diseñadas para la ocasión.
En un principio Tegam Internacional emprendió una agresiva campaña de
marketing, con anuncios en publicaciones donde literalmente llamaba
«terrorista informático» a «Guillermito». Acusación que cobra una
especial relevancia si tenemos en cuenta que apenas habían
transcurridos unos meses desde el 11 de septiembre. Posteriormente
emprendería acciones judiciales contra Guillaume T. por presunta
«falsificación de programas informáticos y ocultación de estos
delitos», escudándose para ello en varios artículos del código de la
propiedad intelectual y el código penal.
Más detalles sobre los preliminares del caso pueden ser consultados
en el la noticia «Juicio contra la seguridad informática y el full
disclosure» (http://www.hispasec.com/unaaldia/2034).
El juez de instrucción designó a un experto informático para analizar
los argumentos y pruebas técnicas del caso, que ha concluido en su
informe:
– que Guillaume T. desensambló, utilizó y publicó elementos y detalles
del programa informático Viguard, que excedían las modificaciones que
un simple usuario puede realizar con fines de compatibilidad para una
utilización personal, permitiendo burlar las protecciones que
anunciaba el producto.
– que Guillaume T. dispone de competencias incuestionables en materia
de virus y antivirus, y que las vulnerabilidades en Viguard
denunciadas en el informe de Guillaume son pertinentes.
Basándose en el informe del experto informático, el juez de instrucción
ha desestimado la mitad de los cargos contra Guillaume, en concreto los
relacionados con la «ocultación de delitos». Si bien se deberá celebrar
un juicio atendiendo a los cargos de «falsificación», que el juez
estima pertinentes al poder atentar contra los derechos de propiedad
intelectual de Tegam Internacional por publicar detalles del código de
Viguard sin su autorización.
En definitiva, Guillaume T. tenía razón cuando denunció las
vulnerabilidades en el producto de Viguard, demostrando que la
publicidad emitida por Tegam Internacional era falsa. Sin embargo,
el método empleado por Guillaume, que básicamente consistió en publicar
un informe técnico y ejemplos reales a modo de pruebas de concepto, son
motivo para, al menos, llevarlo a juicio.
Sin duda nos encontramos ante un juicio cuyo fallo puede marcar un
antes y un después en la investigación y publicación de
vulnerabilidades. Si Guillaume T. es condenado, se creará un precedente
en Francia que criminaliza el full disclosure (divulgación total en
materia de seguridad informática).
Nos encontraríamos en un callejón sin salida, que afectaría de lleno a
la propia seguridad informática. Si denuncias una vulnerabilidad sin
pruebas puedes ser llevado a juicio por difamación, si por el
contrario realizas un análisis técnico y publicas pruebas de concepto
te podrían acusar de falsificación.
Los derechos de unos terminan donde comienzan los de los demás, y en
este caso Tegam Internacional no debe poder escudarse en la propiedad
intelectual para tapar una publicidad falsa y esconder fallos en su
software. En juego no anda sólo la posible condena a Guillaume, sino
la seguridad de los usuarios, que no debe quedar supeditada a los
intereses comerciales de los propios desarrolladores y distribuidores.
¿Qué garantías y defensa tendrían los usuarios sin la existencia de
investigaciones independientes?
Todos los interesados quedan invitados al juicio público que tendrá
lugar el próximo 5 de octubre de 2004, a las 13:30h, en la 31 Sala /1,
Tribunal de Grande Instance de Paris, 4 Boulevard du Palais,
75100 Paris RP SP.
bernardo@hispasec.com
Más información:
20/05/2004 – Juicio contra la seguridad informática y el «full disclosure»
http://www.hispasec.com/unaaldia/2034
Accusé, levez-vous!
http://www.guillermito2.net/archives/2004_08_30.html
Deja una respuesta