JORGE
DÁVILA MURO
Director
Laboratorio de Criptografía LSIIS
Facultad de Informática UPM
jdavila@fi.upm.es
|
Hace poco
tiempo hablamos1 de la conocida Digital Milenium
Act americana pero no tratamos su infiltración en la administración
europea desde el mes de mayo del año pasado en forma de borrador
del Consejo de Europa2 . Ya vimos que el DMA es la última
y poco imaginativa propuesta de la industria americana para negar cualquier
tipo de publicidad y apoyo a la investigación y al análisis
de los productos que lanzan al mercado y constituyen su fuente de riqueza.
La EUCD fue aprobada por el Parlamento Europeo el 22 de mayo de 2001 por
lo que los gobiernos nacionales tienen hasta el 22 de diciembre de este
año para incluir esta directiva en sus legislaciones nacionales
suponiendo, claro está, que ningún país se niegue
a ello. Lo más importante de esta directiva es su artículo
siete en el que se prohíbe3 , de forma universal, todo
aquello que directa o indirectamente pueda terminar atentando contra los
derechos de autor.
En su artículo sexto4 , la EUCD convierte en ilegal
cualquier procedimiento que pueda llevar a evitar medidas técnicas
de protección, y ello sin tener en cuenta cómo consigue
esa persona vitar dicha protección; por ejemplo, modificando activamente
el sistema (atacándolo) o simplemente utilizando un fallo del mismo.
Según esto, hacer una copia de uno de tus CDs para escucharlo en
tu reproductor portátil de mp3 mientras vas de viaje en el coche
es tan ilegal como poner esos registros a disposición de todo el
mundo en sistemas tipo Napster y, por supuesto, convierte en ilegal encontrar
cualquier fallo en sistemas de seguridad de cualquier índole.
Siguiendo estas férreas limitaciones, siempre habrá que
acceder a los materiales digitales a través del software y hardware
proporcionados por el propietario comercial del objeto en cuestión,
lo que siempre supondrá un clientelismo forzado. El mencionado
artículo sexto de la EUCD pone toda la esencia de la protección
de la propiedad intelectual en el software o hardware que la proteja.
|
Si
se mantienen en secreto los errores de programación, algunas empresas
afectadas, aún sabiéndolo, no se molestarán en corregir
sus sistemas o productos ya que eso perjudicaría a los beneficios
y porque confían ingenuamente en que la no publicidad del fallo
va a impedir su utilización.
|
Aceptando
este artículo, los países de la Unión Europea se desentienden
de legislar sobre el copyright, abandonando sus funciones para que las recojan
las compañías tecnológicas, nada europeas, que desarrollen
los procedimientos técnicos de seguridad aplicados a los materiales
sujetos a protección.
En este escenario, las investigaciones sobre la seguridad de los sistemas
deben estar muy controladas y, en el caso de dar con algo que las ponga
en jaque, no se puede proceder a su difusión ya que con ello uno
abandona definitivamente la legalidad.
Afortunadamente no ha sido necesario esperar mucho tiempo para ver qué
efectos reales tienen estas medidas intimidatorias, que tanto gustan a las
compañías discográficas, sobre las actividades de la
investigación en seguridad informática.
SNMP
El SNMP es un protocolo para la gestión de los equipos que constituyen
las redes y que se encarga de controlar y configurar routers, switches y
demás elementos propios de las redes telemáticas. Miles de
tales equipos constituyen el sistema circulatorio y la materia tangible
de la actual sociedad de la información y la telemática.
El otoño pasado varios investigadores de la universidad de Oulu en
Finlandia5 descubrieron múltiples debilidades6
en la implementación del SNMP que está presente en numerosos
productos comerciales. Dichas debilidades permiten montar ataques por denegación
de servicio (DoS) con sólo enviar a los enrutadores un solo paquete
IP y, en algunos casos, permiten saltarse las listas de control de acceso
y hacerse con el control total del equipo.
En aquel momento muchas compañías no tenían idea de
si estaban afectadas por ese descubrimiento por lo que se incluyó
un código de demostración7 para probar sus productos
respecto a dicha debilidad8 y estuvo disponible en Internet.
Desde el primer momento se mantuvo el sigilo que exigen leyes como la EUCD
para dar tiempo a las casas comerciales para reparar sus distribuciones.
Las vulnerabilidades estaban en los procedimientos para la captura de mensajes
de error y la llamada a funciones en el código9 , y tienen
su origen en errores cometidos en el código que debe tratar las estructuras
escritas en ASN.110 o en BER11.
El código defectuoso encontrado en el caso del SNMP es tan básico
que puede afectar a otros productos que nada tienen que ver con él.
El problema con el tratamiento del ASN.1 puede afectar a muchas otras aplicaciones
(¿OpenSSL12?) ya que no se limita al SNMPv1, que sólo
es su manifestación pública mejor descrita.
El grupo de investigación de la Universidad de Oulu descubrió
este problema en octubre de 2001, y decidió no publicarlo debido
a que se trataba de un problema serio y extenso. El CERT asumió la
coordinación de los diferentes afectados para resolver este incidente,
y retrasó la publicación del bug hasta el 12 de febrero de
este año, debido al amplio grupo de empresas con las que tenían
que contactar. El CERT declara que ha tenido problemas con algunas compañías
que no se han tomado en serio el problema.
Aún siguiendo el mas puro estilo DMA, la publicación se adelantó
en dos semanas respecto a lo previsto debido a las numerosas fugas de información
que estaban dando lugar a un gran número de imprecisos y peligrosos
rumores. Algunas compañías no tenían resuelto el problema
en esa fecha aunque habían tenido varios meses para hacerlo, otras
sólo se preocuparon del tema cuando se les informó de que
iba a hacerse público. |
Es
cierto que, si se dan las condiciones para que se realicen ataques y está
disponible tal información, tarde o temprano será utilizada
para tal fin.
|
A
pesar de haberse distribuido, en contra del espíritu de las EUCD,
un código demostrador de la vulnerabilidad detectada, no parece que
haya sido utilizado para perpetrar ningún ataque; por el contrario,
la existencia de ese código y de una plena información sobre
el problema del que se trata, ha permitido a muchas compañías
tomar medidas de contención e instalarlas en sus redes o en las de
sus clientes antes de poder eliminar realmente el fallo, y hacerlo todo
ello en pocas horas.
Esta experiencia pone claramente de manifiesto que si se mantienen en secreto
los errores de programación, algunas empresas afectadas, aún
sabiéndolo, no se molestarán en corregir sus sistemas o productos
ya que eso perjudicaría a los beneficios y porque confían
ingenuamente en que la no publicidad del fallo va a impedir su utilización.
Está claro que no son pocas las empresas que carecen de una adecuada
ética profesional y que están dispuestas a no ver lo evidente
hasta que se sienten amenazadas por la publicidad, única cosa que,
al final, las mueve a corregir sus errores.
Otro asunto que queda claro en este caso es que la disponibilidad de códigos
que demuestran la debilidad no implica inexorablemente la aparición
de ataques basados en ese mismo código. Las razones que llevan a
los atacantes a actuar no son tan sencillas e infantiles como la de hacer
las cosas por el mero hecho de poder hacerlas. Sin embargo, es cierto que,
si se dan las condiciones para que se realicen ataques y está disponible
tal información, tarde o temprano será utilizada para tal
fin.
El sigilo y la censura que imponen leyes como la DMA americana o la EUCD
europea en ningún modo son soluciones para el problema que dicen
afrontar. La protección de los derechos de autor no tiene rango suficiente
como para que protegiendo a éstos, tengamos que renunciar al software
de calidad o a la conveniente actualización y corrección de
lo que cada día mas, constituye el esqueleto de la sociedad de la
información en la que vivimos.
La única posibilidad de que esto realmente ocurra es que la investigación
en temas de seguridad y calidad informática así como la difusión
de sus resultados sea lo mas eficiente y pública posible.
Haber ocultado el expediente sobre el SNMPv1 habría sido una grave
irresponsabilidad dejando abiertos flancos débiles a la espera de
cualquier inoportuno ataque.
Es cierto que todavía no se ha encontrado el modo de reunir los diferentes
puntos de vista y los diferentes intereses en este tema, pero el proceso
se ha puesto en marcha y ya hay algunas propuestas mas conciliadoras13
que las planteadas por discográficas, empresas multimedia y de software.
Algún día dispondremos de una solución generalmente
aceptada y que, con toda seguridad, no se basará en el oscurantismo,
sigilo y censura que inspiran a muchos promotores empresariales de guerras
santas representadas por el DMA y su traducción europea. Hasta
entonces, quizá sea lo mas aconsejable no tomarse muy en serio la
trascripción de la EUCD a las leyes nacionales europeas y frenar
así un remedio que puede ser peor que la enfermedad.
|
1
Jorge Dávila: ¿A la seguridad a través de la ignorancia?
Revista SIC Nº48* Febrero de 2002 pp. 66
2 301L0029 Directive 2001/29/EC of the European Parliament and of the Council
of 22 May 2001 on the Harmonisation of certain aspects of copyright and
related rights in the information society. Official Journal L 167 , 22/06/2001
P. 0010 -0019
3 Artículo 7: Obligations concerning rights-management information
(RMI).
4 Chapter III Protection of Technological Measures and Rights-Management
Information: Article 6 - Obligations as to technological measures.
5 OUSPG = Oulu University Secure Programming Group http://www.ee.oulu.fi/research/ouspg/
6 CERT® Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations
of the Simple Network Management Protocol (SNMP) February 12, 2002
Last rev: May 16 2002 7 PROTOS test suite http://www.ee.oulu.fi/research/ouspg/protos/testing/c06/snmpv1/
8 la PROTOS tool
9 Referencias CVE 5 : CAN-2002-0012 y -0013, respectivamente. de CVE = Common
Vulnerabilities and Exposures en http://cve.mitre.org/
10 ASN.1 = Abstract Syntax Notation 1
11 BER = Basic Encoding Rules
12 Un reciente problema con el modulo mod_ssl del servidor web Apache también
parece estar relacionado con el problema del ASN1.
13 Steve Christey & Chris Wysopal February 2002 Responsible Vulnerability
Disclosure Process IETF Document http://www.ietf.org/internet-drafts/draft-christey-wysopal-vuln-disclosure-00.txt
|
|
|
|