23 diciembre 2014

S.O.S. Seguridad

Que el gobierno Español desde hace tiempo va a la deriva, es algo que se puede inferir por muchos temas. Podríamos hablar de gestión social, de impuestos o de corrupción. Pero no, el tema que hoy nos ocupa afecta directamente a nuestra profesión y colectivo.

Se acaba de hacer público un documento que refleja una serie de enmiendas orientadas a regular y penar ciertas conductas delictivas a través de Internet. En principio esto no es malo, en el documento se reflejan penas para aquellos que accedan ilegalmente a un equipo y lo inutilicen. Incluso hay un apartado que parece (seguro que por mera coincidencia) diseñado para penar a los creadores de Ransomware:

Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:
 
a) Realizando alguna de las conductas a que se refiere el artículo anterior;

b) introduciendo o transmitiendo datos;
c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático,
telemático o de almacenamiento de información electrónica.

En principio este tipo de regulación es positiva, el problema es cuando el legislador 'se viene arriba' y propone cosas que, directamente convierten este blog en ilegal

Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:
 
a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o,
 
b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.

De la forma en la que se ha redactado esta enmienda, señores, acaban de convertir en ILEGAL descargarse, desarrollar o mejorar, por ejemplo, una herramienta tan ampliamente utilizada como SQLMap.

Y como decía líneas más arriba, no hay que irse tan lejos, en este blog hemos documentado un buen número de vulnerabilidades en diferentes servicios, hemos liberado herramientas que, si bien han sido concebidas sin ánimo de hacer nada malo, se pueden usar para ello.

Por poner un ejemplo personal, hace poco liberé Search2Audit, una herramienta que genera un listado de URLs de un dominio para ser revisado desde una herramienta de seguridad, como en teoría esto lo que hace es 'colaborar' a descubrir partes inseguras de una web, ilegal

También publiqué una prueba de concepto de troyano avanzado llamado Folklorica, es un troyano, en malas manos puede servir para 'mantener un acceso ilegítimo', también pasa a ser ilegal

Y con esto, señores, acaban de finiquitar la investigación en el campo de la seguridad informática. Adiós a charlas en las que se documente un fallo, adiós a publicar herramientas, adiós a escribir sobre seguridad ofensiva en blogs temáticos. ¿Adiós SbD?

24 comments :

svoboda dijo...

Y no es 28 de Diciembre. Muy triste que siempre se anden tratando de parchear las cosas tarde y desde el desconocimento, en vez de intentar hacerlo bien, adaptando las leyes a los tiempos que corren y a la importancia de cierta areas.

Madrikeka dijo...

La verdad que es una pasada, muchas de esas aplicaciones para análisis y seguridad, las usamos para administrar mejor nuestros entornos, hasta los sysadmin estaríamos en riesgo de ser encarcelados; imagino o espero, que todas estas "normas" se cumplirían llevando muy al límite la ley.


Y me pregunto, qué habrá que hacer para estar "autorizado"?
- Pasar un examen.
- Enviar un formulario
- Pagar a la empresa de turno para que te "autorice".


Creo que acabaría siendo la última opción.

Drizzt dijo...

Pues la verdad es que no es la primera vez que un gobierno europeo propone una medida de este tipo. Por ejemplo, ya lo hizo Francia en el año 2004.


En realidad el gdb , el ssh o cualquier herramienta que nos de conectividad de red entra en ese apartado de "comisión de delitos".


En nuestro particular mundo europeo, creo que veremos regulaciones sobre quien, como y dónde se pueden usar algunas herramientas.

n0ipr0cs dijo...

Muy fuerte, este gobierno se lo estaba cargando todo, lo poco que estaba bien lo van a rematar también :(

m dijo...

Um, entonces, distribuir un sistema operativo que sea libre, puede considerarse también ilegal.. ya que tiene las suficientes herramientas para obstaculizar un sistema informático, verdad? Y si alguien crea un programa que no tenga "malas intenciones" y este falla haciendo que un sistema ajeno se desestabilice por X motivos... también? Y si la herramienta esta pensada para auditorías legales? Si vamos a otros terrenos, es como decir que adquirir un martillo, un cuchillo, o coger una piedra de la calle es delito, ya que podrías matar a alguien con estas herramientas... deberíamos ilegalizar alas casas de software por distribuir sus sistemas operativos? a los proveedores de internet por permitirnos el acceso a sistemas ajenos? a la gente por usar el cerebro (herramienta peligrosisima)? Atonito me quedo :P

ArgosHack dijo...

Lo de este gobierno es de traca de las fallas. Como se puede ser tan sumamente analfabeto y reunirse de los inútiles profesionales que existen. Obviamente si queremos estar seguros en un ámbito global de ciberseguridad debemos rodearnos de los mejores profesionales y en esta profesión solo se puede ser mejor si estudias mucho y pruebas mucho chocandote constantemente contra el muro hasta que das con la solución y con esto lo único que van a conseguir es que el país sea mas y mas inseguro al no dotar a los profesionales de las herramientas necesarias para desarrollarse profesionalmente.

Al final el gobierno tendrá que contratar profesionales de otros países que si hallan podido desarrollar su profesión...

Yo me dedico a esta profesión desde hace unos años y actualmente también tengo un blog dedicado a la seguridad, obviamente no tan bueno como este sino que el mio esta enfocado a dar información sobre seguridad para usuarios y no para profesionales como SbD uno de los mejores que existen en español bajo mi entender... Y ahora que vamos a hacer??? Tendremos que seguir estudiando bajo la ilegalidad expuestos a que un día nos juzguen por querer seguir desarrollándonos??? o nos tenemos que dedicar a otra cosa para evitar ser procesados por esta gente?

No somos delincuentes, somos profesionales y al igual que a un médico no se le quitan sus herramientas de trabajo tampoco pueden hacerlo con nosotros...

Con esto no se como vamos a poder seguir trabajando de forma segura pero si que tengo claro que nadie va a decirme a que me tengo que dedicar aunque ello conlleve correr riesgos.

theyiyibest dijo...

Las leyes informáticas deberían crearlas informáticos, no politicuchos de tres al cuarto que se creen algo poniendo esto. Ya lo dijo Gandhi: cuando una ley no es justa, lo suyo es desobedecerla, con todo lo que ella conlleva.

Ignacio Agulló dijo...

No seré yo quien defienda a este gobierno, pero Yago, me parece que te equivocas de medio a medio o sencillamente has copiado el texto sin leértelo. ¿No ves esa parte que dice "con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis"? Es decir, facilitar programas intrusivos a terceros es punible si se hace con intención de cometer delitos, y no es punible si se hace con otros fines como por ejemplo realizar pruebas de penetración, los cuales que yo sepa no están tipificados como delito. Para que el desarrollador sea culpado hay que demostrar la intención de cometer el delito. Ejemplo: un mafioso encarga a un especialista que desarrolle una herramienta específica para extraer toda la información posible de una compañía concreta. Tal vez algunos queráis que no se penalice eso y que haya un mercado libre de esta clase de herramientas; señores, eso no es defendible.

Daniel dijo...

Eeeeeh, hola? Leo este blog con frecuencia para aprender y satisfacer mi curiosidad, en ningún caso busco realizar cualquiera de los delitos tipificados fuera de MIS maquinas. No entiendo como pueden responsabilizaros por lo que hagan terceros. Fuerza y Honor!

MisterX dijo...

Te me has adelantado... :-P
Justo lo mismo estaba leyendo en este momento y no me cuadraba con lo que pone el articulo.
Estaría bien leer bien las cosas y después, si eso, opinar.

Yago Jesus dijo...

Hola Ignacio, en primer lugar señalar que tus últimos comentarios en este blog han sido de todo menos educados (especialmente uno a Lorenzo que rozaba el insulto). Creo que puedes expresarte de una forma en la que no suene tan 'sobrada'.

Respecto a eso que comentas, sí, si me lo he leído y creo que aplica todo lo que he dicho, el mero hecho de que el concepto sea subjetivo ¿quién determina la intención o finalidad de un programa? convierte esta ley en peligrosa. Tomando como ejemplo SQLMap, la mayoría de defaces por SQLI se producen usando esta herramienta así mismo las pruebas de intrusión también usan esta herramienta ¿qué pesa más? ¿lo sabes tu?

Y en el caso de una prueba de concepto de un fallo creo que admite menos dudas. Si yo publico un PoC de un exploit que automáticamente va a ser empleado para fines maliciosos ¿qué? ¿que tiene más peso?

random dijo...

Bueno, pues nos vemos en .onion, ¿no?

Ollupacre dijo...

IEso que dices sería así si no estuviéramos acostumbrados a la interpretación maliciosa de la norma, al dictado de algun politico de turno., o del perfil conservador del juez de turno. Me recuerda mucho a cuando dicen en el telediario: "requisado un alijo de 100 kg de marihuana en un invernadero..." y los que conocemos casos de cerca sabemos que esos 100 kg son plantas pesadas con tierra y todo. O redadas de pederastas donde detienen a 50 tios, les revientan los ordenadores, y luego la mitad de ellos eran errores de identificacion, etc...eso si ya te han jodido el equipo, toda la info y la reputacion de paso. No se si me explico.
¿ Que juez va a decidir sobre las 100 herramientas que tengo en mi portatil ? ...porque casi todas sirven para esto. ¿ cuales son mis intenciones ? Con este texto, poner 4 lineas sobre Nmap ya es peligroso.
¿ Han contado con INCIBE ? No se que respuesta me asusta mas, que si o que no...
Esta ley, como todas las de este gobierno filo-franquista, lo unico que pretende es disuadir: disuadir a la gente de que se manifieste, disuadir de que alguien proteste en Facebook, disuadir que se grabe a la policia, disuadir disuadir....Panda de bastardos...

Jonathan Novel dijo...

Desde que deje los malos hábitos pensaba que avía dejado de flipar pero la vida y sobre todo "El Gobierno" de este país cada día me sorprenden mas, alucina vecina!

Entre ayer y hoy he cerrado una pagina Web con dominio propio y borrado muchos vídeos de mi cuenta de Youtube, avía comenzado a construir un Blog para hacer las cosas bien: http://insecureandbrowsing.blogspot.com.es/
(perdón por el spam)

Desde mi punto de vista no es que las estuviese haciendo mal pero, tal y como esta el panorama considero que no hay ni articulo mal publicado o ilegal si no mal interpretado y sin querer mira, justo a tiempo o no ya no estoy seguro (que haronía)

Pues para mas inri así se llama el Blog XD "Inseguro y Navegando"
(ahora todo cobra sentido) le puse ese nombre por eso de que la seguridad en la red es solo un mito acompañado de siempre vivir con la paranoia de que algún día uno puede ser el siguiente y aun así navegando, joooder hermano con lo bien que pintaba, ahora que Yago? Hacer Game Plays para Youtube? Como dice Homer...
Me aburroooo! :'(

Yo simplemente soy un joven mas de tantos muchos, apasionado a la informática su seguridad en especial y las nuevas tecnologías con muchas ganas de aprender y compartir mis humildes conocimientos con fines educativos para usuarios que al igual que yo ansían conocer el nivel de seguridad de sus infraestructuras, etc...

El sistema obligando a delinquir, joe que fuete macho XD! Volveremos al royo romántico hombre... Lucy y yo a solas de nuevo intimando en esas largas noches llenas de de pasión y un sin fin de emociones fuertes, nada nada, a partir de ahora los experimentos y las intimidades en casita a solas chapaos a cal y canto no Yagao?

PD: Quien dijo miedo abiendo hospitales ;-)

Saludos y "Felices Fiestas" ¬¬
This is Sparta! Fuck System!

Ignacio Agulló dijo...

No te inventes cosas, Yago. Yo en ningún momento te falto al respeto, tan sólo te digo que te equivocas. Siempre es triste ver a alguien recurrir a acusar de falta de educación a su interlocutor simplemente por discrepar.

En cuanto al artículo de Lorenzo Martínez, me imagino que te refieres al denostado artículo en el que menosprecia a los profesionales sanitarios, te recuerdo que mi comentario es de los más moderados. Si quieres reabrir aquel debate, por mí adelante, pero no me aclaro cuáles son tus intenciones. Cuando alguien mete la pata hasta el fondo como Lorenzo, de amigos es procurar que se olvide, y de enemigos procurar que se recuerde.

P. S.: Parece que no tengo más remedio que comentar como invitado porque Disqus da error sec_error_ocsp_server_error.

YJesus dijo...

Ignacio, el juego que te traes yo lo hacía cuando tenía 17 años en el IRC por lo que me conozco bien el tema de los argumentos tendenciosos, las insinuaciones veladas etc etc

En tu comentario anterior me has acusado implícitamente ee negligente, de no saber leer y de poco perspicaz. Respecto al post de Lorenzo, tus insinuaciones de corte mafiosil obviamente me resbalan. Tu te has arrogado el derecho de decidir que ese post está 'denostado' siendo que tuvo un montón de comentarios positivos, ni siquiera has empleado el término 'controvertido' que hubiera suavizado el concepto

Entonces, las reglas que vamos a seguir entre tu y nosotros son las siguientes: si eres capaz de expresarte de una forma que no contenga ni un ápice de prepotencia o mala FE, bienvenido. Si no eres capaz de observar esa norma básica de civismo se eliminarán los comentarios. Si no te gusta esta forma de convivir, no vuelvas

Lorenzo Martínez dijo...

Ignacio, ya te contesté en aquel post e incluso te hice un mention en twitter para así indicártelo. El que no se leyó el post completo ,que es de lo que tachas aquí a Yago, fuiste tú. Si no quisiste contestar nada al respecto, no es mi problema.

Abiertos al debate estamos, pero como te han dicho si vienes con formas maleducadas, como las utilizas para acusarme de egoísta, mezquino y un montón de cosas más, ya sabes dónde está la puerta.

Orih dijo...

Pufff, es la prueba de la ignorancia de quienes legislan en este mundo. Una ley absurda por donde se la mire, que no es conciente que en internet no hay fronteras y que maniata a sus ciudadanos y se me ocurren tantos argumentos en contra que no se por donde empezar y seguramente dé solo un par olvidándome de otros varios.
Por un lado, el texto "con la intención de facilitar", ¿Como se mide la intencionalidad en este caso? Desde que leo textos relacionados a la seguridad informática recuerdo el viejo y querido disclaimer que dice "No me hago responsable del uso que le puedan dar a esta información, no es mi intención que se comentan delitos" bla, bla bla... Con eso es necesario? o te llevarán a juicio y se decidirá la intencionalidad o no por el juez de turno, que quizá esté tan capacitado para dictar una sentencia como lo estaban quienes redactaron la ley.



Se dan cuenta que con esto, atan de manos a los especialistas en seguridad españoles, dejando a la merced de piratas extranjeros a las empresas locales?
¿Qué clase de herramientas son consideradas como pensadas para comenter un delito? El ordenanador utilizado? el sistema operativo? la conexión a internet? Un navegador? Un proxy? Una vpn? el TOR? una herramienta de administración remota? FTP? Facebook por ejemplo, si se usa para compartir imágenes de pornografía infantil. Pedirán la extradición de Mark Zuckemberg?



Imaginen si esto se extendiera a los aspectos cotidianos no informáticos de nuestra vida.
¿No será mas peligrosa la comercialización o uso de armas de fuego que el de sqlmap?
Yo creo que nadie que cree armas de fuego piense que estas tienen buenas intenciones.

¿Y el de un arma blanca? Tal vez habría que dejar de comer con tenedor y cuchillo ya que con malas intenciones pueden ser usadas en rapiñas. Si hay una rapiña con un cuchillo de marca X, irá también preso el dueño de la empresa X o el importador? Así que a comer con cucharas! Va... tal vez con la cuchara se les ocurre hacer un tunel (no ssh, de esos por la tierra xD) y entrar a robar a un banco o una joyería.
Es tan plausible de ir a la carcel quien escribe un post en este blog, como lo es quien enseña algún tipo de defensa personal, clases de tiro, o da una clase de química (Quién no aprendió que elementos no mezclar ya que puede existir una reacción peligrosa).





En fin, si gustan los espero en Uruguay donde la información es medianamente libre y ahora también lo es la marihuana :P.

Ignacio Agulló dijo...

Qué triste...: "el juego que te traes", "mafiosil". Todo ello, una película hervida en tu imaginación, sin ninguna relación con la realidad.

Yo lo único que he hecho es decirle al autor "me parece que te equivocas de medio a medio o sencillamente has copiado el texto sin leértelo". Por lo visto crees que los comentarios están solamente para echar flores y se prohibe opinar que el autor se equivoca. Pues no es así. Si el autor no soporta que le puedan decir que se equivoca, que no pida comentarios.

Ignacio Agulló dijo...

Perdona, quien tiene que mirar en dirección a la puerta eres tú, Lorenzo, que eres quien menospreció a los profesionales sanitarios y aún no he visto que se haya disculpado por ello.

Hermana de Ignacio Agulló dijo...

Os pido por favor que disculpéis a mi hermano, siempre ha tenido graves problemas sociales debido a que ya desde pequeño era un fracasado social, siempre se ha sentido "llamado" a hacer grandes cosas y siempre la cruda realidad lo ha llevado al nivel real de su persona: la mediocridad. Solo tenéis que ver su página web para entender lo que os comento.


En estas fechas donde la gente de bien está con sus parejas, familias y tiene un espíritu alegre, son las peores para mi hermano porque se ve solo y miserable y solo sabe destilar veneno.


Por favor perdonadle ...

Yago Jesus dijo...

Hola, no teníamos ni idea de esto que nos comentas, pero atendemos tu ruego y seremos condescendientes. Algo así ya nos imaginábamos porque no se entiende tanta crudeza y ser tan de insulto fácil.

Un fuerte abrazo y felíz navidad !

Ignacio Agulló dijo...

Ja ja, vaya payasada la tuya, Yago Jesus.

Darío dijo...

Muy preocupante: ¿piensan los que legislan con base en la ignorancia que la política del avestruz es la indicada para "estar más seguros"?

Sería muy triste que este lugar desaparezca por la ignorancia de unos inútiles.