Inicio > Actualidad > Demandado por publicar una vulnerabilidad.

Demandado por publicar una vulnerabilidad.Categories: Actualidad

Viernes, 21 de Mayo de 2004 Dejar un comentario Ir a comentarios

Un científico francés se enfrenta a una posible pena máxima de 2 años de cárcel y multa de 150.000 euros, tras haber sido demandado por descubrir y publicar varias debilidades en un software antivirus que anunciaba detectar el 100% de virus conocidos y desconocidos.

(Hispasec) A la espera del fallo por parte de la justicia francesa, el resultado
podría crear un importante precedente en este país sobre la investigación independiente en materia de seguridad informática.

Guillaume T. desarrolla actualmente su trabajo en Boston como investigador en biología molecular, tanto en el departamento de Genética de la Universidad de Harvard como en el Hospital General de Massachusetts. Como parte de sus aficiones, Guillaume, publica en su
página web personal, bajo el apodo de “Guillermito”, algunos análisis sobre vulnerabilidades que ha detectado en diversas soluciones de seguridad. El seudónimo responde simplemente a un guiño a sus raíces, ya que sus abuelos eran españoles y migraron a Francia antes del
comienzo de la Guerra Civil.

En octubre del pasado año Guillaume tuvo que regresar a Francia para responder algunas cuestiones de L´Office Central de Lutte contre la Criminalité liée aux Technologies de l´Information et de la Communication (O.C.L.C.T.I.C.), grupo de la policía que se encarga
de los casos relacionados con las tecnologías de la información, y que llevó a cabo algunas acciones preventivas como desactivar el servidor web de “Guillermito”.

El pasado mes de marzo, Guillaume se vio forzado de nuevo a volar a París para acudir al Juzgado de Instrucción de la capital francesa, atendiendo a la convocatoria de primera comparecencia sobre una acusación de Tegam International por presunta “falsificación de
programas informáticos y ocultación de estos delitos”, escudándose para ello en varios artículos del código de la propiedad intelectual y el código penal.

El origen de la acusación se encuentra en un análisis que Guillaume publicó en su sitio web en marzo de 2002, en el cual documentaba varias vulnerabilidades en Viguard, software antivirus de Tegam International que anunciaba como 100% seguro contra virus conocidos y desconocidos. En el artículo publicado, Guillaume analizaba algunos posibles ataques contra Viguard, demostrando que no ofrecía la protección que anunciaba, con varios ejemplos prácticos basados en virus conocidos y otras pruebas de concepto diseñadas para la ocasión.

En un principio Tegam Internacional emprendió una agresiva campaña de marketing, con anuncios en publicaciones donde literalmente llamaba “terrorista informático” a “Guillermito”. Acusación que cobra una especial relevancia si tenemos en cuenta que apenas habían
transcurridos unos meses desde el 11 de septiembre. Posteriormente emprendería las acciones judiciales anteriormente comentadas.

En estos momentos el caso se encuentra en periodo de instrucción, bajo el estudio de la juez que está requiriendo a las partes sus argumentaciones y pruebas. Aunque aún está por conocer la decisión de la justicia, a priori parece que Tegam International está obteniendo las primeras victorias colaterales de su estrategia.

El sitio web de Guilleme que hospedaba en un servidor francés ha desaparecido, otras publicaciones online que se habían hecho eco del caso, como silicon.fr, isecurelabs.com, rezo.net y uzine.net, también han cedido retirando la información, ante la sombra de nuevas acciones judiciales contra ellas por “falsas informaciones”. Por su parte,
Guillaume está sufriendo continuas interferencias en su actividad profesional, además del coste económico que le está suponiendo la defensa y los viajes a París.

En nota de prensa con fecha 31 de marzo de 2004, Tegam International critica de forma abierta a los participantes de foros, sitios web, y publicaciones que se han hecho eco de la noticia del caso decantándose a favor de Guillaume. Tegam afirma no estar en contra de los
investigadores de seguridad informática ni que pretenda afectar a la libertad de expresión, si bien denuncia que está siendo víctima de una campaña de otros desarrolladores de la competencia, que persiguen “aplastarlos” como alternativa antivirus. Para finalizar la nota,
realiza una exaltación patriótica, afirmando que deben defenderse y recurrir a la justicia para salvaguardar a la única empresa francesa que desarrolla tecnología antivirus.

Adicionalmente, Tegam mantiene una nota pública, “Désinformation sur ViGUARD”, donde realiza alegaciones algo más técnicas sobre algunas de las críticas realizadas sobre Viguard. En cualquier caso la mayoría son matizaciones basándose en una versión de red (mientras que el
análisis de Guillaume se centra en la versión personal), incluyendo quejas sobre lo hostiles que han sido algunas pruebas y minimizando el riesgo que implican algunas de las vulnerabilidades publicadas y ciertos tipos de virus.

Sobre este caso particular, y sobre el papel de las investigaciones en materia de seguridad informática en general, la posición oficial de Hispasec es y ha sido siempre:

* No existe solución antivirus 100% segura contra virus. Es fácilmente demostrable en todos los productos, y Viguard no es una excepción.

* Si Tegam International anunció que su producto Viguard detectaba el 100% de los virus conocidos y desconocidos, tal y como se puede apreciar en la copia histórica de su web disponible en Internet, la empresa desarrolladora emitió publicidad falsa.

* La investigación y publicación en materia de seguridad informática, y en concreto la búsqueda activa de vulnerabilidades o el desarrollo de ataques a modo de pruebas de concepto, son prácticas necesarias y reconocidas por la industria, ya que favorecen la corrección de debilidades y el desarrollo de soluciones más robustas.

* La investigación sobre vulnerabilidades es una actividad ejercida, entre otros, por organismos gubernamentales, universidades, laboratorios, consultoras, grupos de seguridad, particulares, y los propios desarrolladores de software de seguridad y antivirus.

* Los análisis independientes permiten a los usuarios obtener información crítica y vital para su seguridad, no supeditada a los intereses comerciales de los propios desarrolladores y distribuidores.

Enlace: http://www.hispasec.com/unaaldia/2034

[Post to Twitter] Twitea esta noticia 

  1. consternado
    Viernes, 21 de Mayo de 2004 a las 10:35 | #1
    Responder | Citar

    Manda wuebo(trillo): esto ya es lo ultimo q me quedaba por leer, alguien demandado por descubrir la incompetencia y el rastrerismo de una empresa q lo unico q le importa son sus beneficios.
    osea yo descubro una vulnerabilidad en algun software q se supone (se me vende como la panacea) perfecto y encima me demandan y por colmo los juzgados ni lo desestiman :( =
    pues por esa regla si yo me compro un coche y descubro q trae un fallo de fabricacion en los frenos y se q puede suponer la muerte de muchos , me callo y simplemente no uso el vehiculo y dejo q se maten la gente para no provocarle perdidas a los rastreros multimillonarios. ya q sino me pueden demandar. (quizas he exagerado algo con el ejemplo, pero es lo de siempre , el q tiene | es el q manda y los demas a obedecer)
    empiezo a tener miedo :( =

  2. daigual
    Viernes, 21 de Mayo de 2004 a las 13:40 | #2
    Responder | Citar

    ke pena: este señor parece una persona seria, no entiendo por que no cogio semejante estudio y se lo entrego a la empresa de antivirus,avisarles,no ke va, su afan de protagonismo le hace cojer sus estudios y publicarlos en su web, para que cualquiera venga y pueda hacer el gilipollas con semejante estudio, el afan por joder joder y joder hace que cada dia estemos peor en internet

  3. LenguadeTrapo
    Viernes, 21 de Mayo de 2004 a las 16:52 | #3
    Responder | Citar

    CAGO EN DIOS!!: Malditos cerdos hijos de puta! En vez de procesar a la compañia estafadora, atacan al que les desenmascaró :( (

    Hay q tomar nota de que compáñía es esa y boicotear todos sus productos. A ver si se arruinan y se van a comer mierda :( =

  4. Lentimus
    Viernes, 21 de Mayo de 2004 a las 17:18 | #4
    Responder | Citar

    Está escrito: critica a un sabio y te lo agradecera, critica a un ignorante y se convertira en tu enemigo.

  5. Flinstone
    Sábado, 22 de Mayo de 2004 a las 13:35 | #5
    Responder | Citar

    Para el #2: Es myu simple el porque de sus acciones:

    No quiere envubrir a unos mentirosos.

    Si la empresa se dedica a vender un producto haciendo propaganda falsa yo no pienso ir a ayudarles diciendoles los problemas que tiene su soft sin que nadie se entere, hare un articulo lo colgare de internet y lo unico que voy a hacer es decirles a los de la empresa:

    - Hola capullines, teneis un articulo en “*******” donde he descrito las vulnerabilidades de vuestro soft perfecto. Asi vosotros lo podeis solucionar pero la gente tambien sabra que sois unos putos mentirosos.

    Y si tu no hicieras lo mismo estarias contribuyendo en la mentira de esos cabrones

  6. keyomall
    Domingo, 23 de Mayo de 2004 a las 00:49 | #6
    Responder | Citar

    Aqui esta una copia con toda su investigacion…: Independientemente de todo, porque no analizan su investigacion y posteriormente argumentan con bases…

    http://web.archive.org/web/20030404161138/http://www.pipo.com/guillermito/viguard/index.html

  1. Sin trackbacks aún.

Twitea esta noticia links powered by Tweet This v1.3.9, a WordPress plugin for Twitter.