› Foros › Off-Topic › Miscelánea
LEGISLACIÓN NORTEAMERICANA CONTRA LOS ANÁLISIS DE SEGURIDAD, POR JESÚS CEA AVIÓN (http://villanos.net)
Recientemente, EE.UU. ha aprobado una serie de leyes encaminadas
a declarar ilegales la publicación de estudios y análisis que
demuestren vulnerabilidades en sistemas hardware o software.
Las leyes, englobadas bajo el nombre común de DMCA (Digital
Millennium Copyright Act), pretender defender las industrias de
contenidos (audio, texto y vídeo) frente a la piratería, pero sus
implicaciones son muy amplias y peligrosas.
La DMCA convierte en ilegal la distribución de "circumvention
technology" (tecnología para burlar protecciones). Entendido en
un sentido amplio, algo que ya se está aplicando en EE.UU., un
documento científico describiendo una vulnerabilidad en una
tecnología entraría dentro de esta categoría y, por lo tanto,
sería ilegal en los Estados Unidos.
Publicar casi cualquier trabajo sobre seguridad, entonces, sería
un acto delictivo en ese país.
A este respecto me gustaría exponer una serie de conclusiones, a
título personal:
* Aunque publicar información sobre vulnerabilidades sea ilegal,
la información seguirá circulando libremente por el mundo
"underground", donde el anonimato es ley. En cambio, los
administradores de sistemas y responsables de seguridad, siendo
personas legales, no tendrán acceso a esa información, que sí
tendrán sus atacantes.
* El progreso técnico y científico se basa en el libre flujo de
información y en estudios independientes. Esto es especialmente
cierto en el campo de la criptología. Si los problemas de diseño
o implementación de un sistema criptográfico no se pudiesen hacer
públicos de forma legal, los usuarios tendrán sistemas débiles e
inseguros.
Ya existen casos demostrables en los que una tecnología
criptográfica, una vez expuesta a expertos independientes, se ha
demostrado insegura: el cifrado GSM, la protección anticopia de
los DVDs, el cifrado WEP de las redes inalámbricas 802.11... Si
dichas tecnologías se hubiesen hecho públicas, el descubrimiento
de sus vulnerabilidades se habría efectuado antes de llegar al
mercado.
¿Qué hubiera ocurrido si la publicación de las vulnerabilidades
fuese ilegal?. La vulnerabilidad seguiría existiendo, por
supuesto, y sería conocida dentro de determinados círculos. El
público, no obstante, pensaría que está utilizando tecnología
segura y de calidad, estando a merced de tiburones sin
escrúpulos.
Adicionalmente, sin la publicidad de las vulnerabilidades, las
empresas no tendrían ningún aliciente para seguir innovando y
dotar a los sistemas, aunque sea tras infinidad de intentos
fallidos, de verdadera seguridad a toda prueba.
Los primeros resultados negativos ya se han empezado a ver:
* La versión 2.2.20 del kernel Linux, de reciente aparición,
indica expresamente en su fichero de "cambios" que se han
solucionado varios problemas de seguridad, pero que no se
proporcionan detalles para no violar la DMCA.
* Un ciudadano ruso, de nombre Dmitri Sklyarov, está pendiente de
juicio en EE.UU., al ser coautor de un programa utilizado para
descifrar ficheros PDF. El programa, elaborado y distribuido por
una firma rusa, se vende desde ese país. Dimitri está acusado de
contravenir la DMCA, aunque sea ciudadano extranjero y los actos
de los que se le acusa se realizasen fuera de los EE.UU.. Dimitri
fue detenido por el FBI, tras una denuncia de Adobe, al término
de una jornadas de seguridad desarrolladas en los Estados Unidos,
a donde había viajado desde su país natal. El trabajo de Sklyarov
es perfectamente legal en Rusia y en la mayoría de los países
occidentales.
Si tienes más de un hijo, ¿puedes ir de vacaciones a China sin
peligro de ser encarcelado, al haber violado una ley local de ese
país, mientras estabas en el exterior y siendo ciudadano
foráneo?. Probablemente en China sí, pero no en los Estados
Unidos, si se ven los precedentes.
* El profesor Edward Felten, de la universidad de Princeton,
decidió no publicar los fallos de seguridad que había descubierto
en el reto SDMI (Secure Digital Music Initiative), con los que
probaba que era posible eliminar las "marcas de agua" insertadas
en una canción, destruyendo el sistema anticopia puesto a prueba
por la SDMI. A pesar de que el objetivo del reto era demostrar si
los sistemas propuestos eran seguros, algo que Felten echó por
tierra, publicar sus resultados sería ilegal. En ese sentido, la
industria discográfica seguía intentando aprobar un esquema de
protección musical demostradamente fallido, aunque las pruebas de
ello no fuesen públicas, y el autor de las mismas tuviese que
afrontar denuncias judiciales.
* Recientemente Niels Ferguson, criptógrafo holandés de
reconocido prestigio internacional, afirmó haber descubierto una
vulnerabilidad en el esquema de protección HDCP de Intel. HDCP es
un sistema de cifrado para el bus DVI, donde se conectan
televisores, cámaras, reproductores de DVD y similares. Según
Ferguson, se puede obtener la clave maestra del sistema en menos
de dos semanas. Una vez obtenida dicha clave, se pueden copiar o
crear contenidos sin restricción, crear dispositivos nuevos, etc.
Aunque Ferguson no publicó los detalles (aunque es holandés,
podría ser detenido en cualquiera de sus viajes a EE.UU.), poco
después se desvelaron todas las interioridades de forma abierta,
a través de otra vía: Scott A. Crosby, de la universidad Carnegie
Mellon. Estudiándolas detenidamente, se puede observar que la
seguridad del sistema HDCP es trivial.
Como se cita a Ferguson en el semanario Ciberpaís: "Si no
investigamos, nunca desarrollaremos buenos esquemas de protección
anticopia. La DMCA protege al fabricante de un mal producto en el
sentido de que es ilegal demostrar que es defectuoso". De hecho
la DMCA contraviene sus propios intereses, ya que sin poder
investigar sistemas anticopia avanzados es imposible desarrollar
esquemas seguros.
El problema de la DMCA no son tanto sus objetivos sino los medios
que aborda para ello. La discusión de vulnerabilidades o la
posesión de sistemas capaces de saltarse protecciones no debe ser
algo ilegal, sencillamente porque existen multitud de usos
legales para esa tecnología e información.
Los cerrajeros, por ejemplo, necesitan disponer de sus
herramientas de forma legal. Las empresas de recuperación de
datos necesitan herramientas de escaneo de discos duros a bajo
nivel para poder hacer su trabajo.
Las herramientas y los conocimientos no deberían ser ilegales si
tienen usos beneficiosos. Lo que debe ser ilegal, y ya lo es en
la mayor parte de los países, es la copia, venta y distribución
no autorizada de material protegido con "copyright". Esa
legislación ya existe y se utiliza constantemente desde hace
decenios. La DMCA, en su estado actual, no tiene ningún sentido.
Prohibir difundir un documento porque su temática no nos es grata
es algo prohibido (salvo casos excepcionales) en la mayor parte
del mundo "civilizado", tratándose de un derecho garantizado con
leyes que promueven la libertad de expresión y la libertad de
prensa. Es triste comprobar como el país del mundo que se
vanagloria de mayor libertad tira por tierra su "Primera
Enmienda" constitucional con una ley que ni siquiera cumple sus
objetivos declarados.
El reciente fallo judicial catalogando el código "DeCSS" como
protegido por la libertad de expresión, hecho del que nos hicimos
eco en Hispasec esta misma semana, abre una brecha legal para
atacar la DMCA. Cuando el juicio de Dmitri Sklyarov empiece
(Dmitri está actualmente en libertad provisional y tiene
prohibido abandonar EE.UU., aunque es ruso y reside en Rusia) no
sería sorprendente que la DMCA fuese declarada
anticonstitucional.
Mientras tanto, seguiré teniendo mucho cuidado con lo que digo,
aunque sea español y no tenga pensado viajar a EE.UU. en un
futuro próximo...
Recomiendo a todos los lectores de "Una-Al-Día" que echen un
detenido
vistazo a los enlaces que siguen.
Opina sobre esta noticia:
<http://www.hispasec.com/unaaldiacom.asp?id=1116>
Más Información:
Electronic Frontier Foundation
<http://www.eff.org/>
Linux security self-censorship ominous
<http://www.newsforge.com/article.pl?sid=01/11/08/0125207>
Linux security self-censorship ominous
<http://www.theregister.co.uk/content/4/22712.html>
The Case For Full Disclosure In The Linux Changelog
<http://slashdot.org/article.pl?sid=01/11/11/1424212>
Keep Security Censorship Away From Linux
<http://www.securityfocus.com/columnists/35>
Linux Update withholds Security Details
<http://www.securityfocus.com/news/274>
Security in an Open Electronic Society
<http://www.securityfocus.com/news/270>
Welcome to the Anti-DMCA Website
<http://www.anti-dmca.org/>
Apparent HDCP authentication protocol weaknesses
<http://cryptome.org/hdcp-weakness.htm>
Video crypto standard cracked?
<http://www.securityfocus.com/news/236>
Un criptólogo rompe la protección anticopia del sistema de vídeo de Intel
<http://www.ciberpais.elpais.es/d/20010823/cibersoc/soc4.htm>
Dutch Cryptographer Cries Foul
<http://www.wired.com/news/politics/0,1283,46091,00.html>
Niels Ferguson's home page
<http://www.macfergus.com/niels/>
Censorship in action: Silenced by the DMCA
<http://www.macfergus.com/niels/dmca/index.html>
Los problemas para la ciencia de las leyes contra la rotura de protecciones
<http://barrapunto.com/article.pl?sid=01/09/23/1637253&mode=thread&threshold=>
Anticircumvention Rules: Threat to Science
<http://www.sciencemag.org/cgi/content/full/293/5537/2028>
RIAA/SDMI Letter, April 9, 2001
<http://www.cs.princeton.edu/sip/sdmi/riaaletter.html>
Originalmente enviado por jiXo
no
sería sorprendente que la DMCA fuese declarada
anticonstitucional.
deathbrutaliz escribió:la DMCA y toda esa gente de coleopteros que estan a su alrededor, deberian de estar agradecidos a las personas que como Dmitri, se lo curran y buscan fallos. si no fuera x esta gente que busca los errores en los sistemas sin animo de lucro (ojo, no puedo opinar sobre Dmitri en este caso xk no se si lo hace x dinero o x pura diversion), ¿solucionarian esas cagadas la DMCA? Agarrense que vienen curvas!!!