Kung-Foo
  

Legislación norteamericana contra los análisis de seguridad

Recientemente, EE.UU. ha aprobado una serie de leyes encaminadas a declarar ilegales la publicación de estudios y análisis que demuestren vulnerabilidades en sistemas hardware o software.

Las leyes, englobadas bajo el nombre común de DMCA (Digital Millennium Copyright Act), pretender defender las industrias de contenidos (audio, texto y vídeo) frente a la piratería, pero sus implicaciones son muy amplias y peligrosas.

La DMCA convierte en ilegal la distribución de "circumvention technology" (tecnología para burlar protecciones). Entendido en un sentido amplio, algo que ya se está aplicando en EE.UU., un documento científico describiendo una vulnerabilidad en una tecnología entraría dentro de esta categoría y, por lo tanto, sería ilegal en los Estados Unidos.

Publicar casi cualquier trabajo sobre seguridad, entonces, sería un acto delictivo en ese país.

A este respecto me gustaría exponer una serie de conclusiones, a título personal:

  • Aunque publicar información sobre vulnerabilidades sea ilegal, la información seguirá circulando libremente por el mundo "underground", donde el anonimato es ley. En cambio, los administradores de sistemas y responsables de seguridad, siendo personas legales, no tendrán acceso a esa información, que sí tendrán sus atacantes.

  • El progreso técnico y científico se basa en el libre flujo de información y en estudios independientes. Esto es especialmente cierto en el campo de la criptología. Si los problemas de diseño o implementación de un sistema criptográfico no se pudiesen hacer públicos de forma legal, los usuarios tendrán sistemas débiles e inseguros.

Ya existen casos demostrables en los que una tecnología criptográfica, una vez expuesta a expertos independientes, se ha demostrado insegura: el cifrado GSM, la protección anticopia de los DVDs, el cifrado WEP de las redes inalámbricas 802.11... Si dichas tecnologías se hubiesen hecho públicas, el descubrimiento de sus vulnerabilidades se habría efectuado antes de llegar al mercado.

¿Qué hubiera ocurrido si la publicación de las vulnerabilidades fuese ilegal?. La vulnerabilidad seguiría existiendo, por supuesto, y sería conocida dentro de determinados círculos. El público, no obstante, pensaría que está utilizando tecnología segura y de calidad, estando a merced de tiburones sin escrúpulos.

Adicionalmente, sin la publicidad de las vulnerabilidades, las empresas no tendrían ningún aliciente para seguir innovando y dotar a los sistemas, aunque sea tras infinidad de intentos fallidos, de verdadera seguridad a toda prueba.

Los primeros resultados negativos ya se han empezado a ver:

  • La versión 2.2.20 del kernel Linux, de reciente aparición, indica expresamente en su fichero de "cambios" que se han solucionado varios problemas de seguridad, pero que no se proporcionan detalles para no violar la DMCA.

  • Un ciudadano ruso, de nombre Dmitri Sklyarov, está pendiente de juicio en EE.UU., al ser coautor de un programa utilizado para descifrar ficheros PDF. El programa, elaborado y distribuido por una firma rusa, se vende desde ese país. Dimitri está acusado de contravenir la DMCA, aunque sea ciudadano extranjero y los actos de los que se le acusa se realizasen fuera de los EE.UU.. Dimitri fue detenido por el FBI, tras una denuncia de Adobe, al término de una jornadas de seguridad desarrolladas en los Estados Unidos, a donde había viajado desde su país natal. El trabajo de Sklyarov es perfectamente legal en Rusia y en la mayoría de los países occidentales.

    Si tienes más de un hijo, ¿puedes ir de vacaciones a China sin peligro de ser encarcelado, al haber violado una ley local de ese país, mientras estabas en el exterior y siendo ciudadano foráneo?. Probablemente en China sí, pero no en los Estados Unidos, si se ven los precedentes.

  • El profesor Edward Felten, de la universidad de Princeton, decidió no publicar los fallos de seguridad que había descubierto en el reto SDMI (Secure Digital Music Initiative), con los que probaba que era posible eliminar las "marcas de agua" insertadas en una canción, destruyendo el sistema anticopia puesto a prueba por la SDMI. A pesar de que el objetivo del reto era demostrar si los sistemas propuestos eran seguros, algo que Felten echó por tierra, publicar sus resultados sería ilegal. En ese sentido, la industria discográfica seguía intentando aprobar un esquema de protección musical demostradamente fallido, aunque las pruebas de ello no fuesen públicas, y el autor de las mismas tuviese que afrontar denuncias judiciales.

  • Recientemente Niels Ferguson, criptógrafo holandés de reconocido prestigio internacional, afirmó haber descubierto una vulnerabilidad en el esquema de protección HDCP de Intel. HDCP es un sistema de cifrado para el bus DVI, donde se conectan televisores, cámaras, reproductores de DVD y similares. Según Ferguson, se puede obtener la clave maestra del sistema en menos de dos semanas. Una vez obtenida dicha clave, se pueden copiar o crear contenidos sin restricción, crear dispositivos nuevos, etc.

    Aunque Ferguson no publicó los detalles (aunque es holandés, podría ser detenido en cualquiera de sus viajes a EE.UU.), poco después se desvelaron todas las interioridades de forma abierta, a través de otra vía: Scott A. Crosby, de la universidad Carnegie Mellon. Estudiándolas detenidamente, se puede observar que la seguridad del sistema HDCP es trivial.

Como se cita a Ferguson en el semanario Ciberpaís: "Si no investigamos, nunca desarrollaremos buenos esquemas de protección anticopia. La DMCA protege al fabricante de un mal producto en el sentido de que es ilegal demostrar que es defectuoso". De hecho la DMCA contraviene sus propios intereses, ya que sin poder investigar sistemas anticopia avanzados es imposible desarrollar esquemas seguros.

El problema de la DMCA no son tanto sus objetivos sino los medios que aborda para ello. La discusión de vulnerabilidades o la posesión de sistemas capaces de saltarse protecciones no debe ser algo ilegal, sencillamente porque existen multitud de usos legales para esa tecnología e información.

Los cerrajeros, por ejemplo, necesitan disponer de sus herramientas de forma legal. Las empresas de recuperación de datos necesitan herramientas de escaneo de discos duros a bajo nivel para poder hacer su trabajo.

Las herramientas y los conocimientos no deberían ser ilegales si tienen usos beneficiosos. Lo que debe ser ilegal, y ya lo es en la mayor parte de los países, es la copia, venta y distribución no autorizada de material protegido con "copyright". Esa legislación ya existe y se utiliza constantemente desde hace decenios. La DMCA, en su estado actual, no tiene ningún sentido.

Prohibir difundir un documento porque su temática no nos es grata es algo prohibido (salvo casos excepcionales) en la mayor parte del mundo "civilizado", tratándose de un derecho garantizado con leyes que promueven la libertad de expresión y la libertad de prensa. Es triste comprobar como el país del mundo que se vanagloria de mayor libertad tira por tierra su "Primera Enmienda" constitucional con una ley que ni siquiera cumple sus objetivos declarados.

El reciente fallo judicial catalogando el código "DeCSS" como protegido por la libertad de expresión, hecho del que nos hicimos eco en Hispasec esta misma semana, abre una brecha legal para atacar la DMCA. Cuando el juicio de Dmitri Sklyarov empiece (Dmitri está actualmente en libertad provisional y tiene prohibido abandonar EE.UU., aunque es ruso y reside en Rusia) no sería sorprendente que la DMCA fuese declarada anticonstitucional.

Mientras tanto, seguiré teniendo mucho cuidado con lo que digo, aunque sea español y no tenga pensado viajar a EE.UU. en un futuro próximo...

Recomiendo a todos los lectores de "Una-Al-Día" que echen un detenido vistazo a los enlaces que siguen.

Más Información:

Jesús Cea Avión
jcea@hispasec.com

Extraído de:

http://www.hispasec.com/unaaldia/1116 (Hispasec - una-al-día 14/11/2001)
Valid XHTML 1.1! Valid CSS!
Esta obra está bajo una Licencia de Creative Commons | rss Noticias | rss Lol